web-dev-qa-db-ja.com

機密データは一時的に保存され、編集されます:PCI準拠ですか?

私はチャットをサポートしているスタートアップにいます。エージェントは顧客とチャットし、チャットセッションウィンドウ中に機密データが送信される場合があります。セッションの間、この機密データをデータベースに保存します。

チャットセッションが(エージェントまたは顧客のいずれかによって)終了すると、機密データを編集します。

したがって、顧客がチャット中にCC#番号を共有するとします。

DBには、チャットセッションが開いている間、1111 2222 3333 4444を保存します。

チャットセッションが終了すると、保存されているCCデータは<num> <num> <num> <num>に変わります。

これは、PCIコンプライアンスや機密データの保護に十分ですか?

1
Growler

簡単な答えはノーです-それはおそらくPCIDSSの要件に不満ではないでしょう。ごめんなさい。

15/16桁のcc番号(PCIはこれらのPANと呼びます)とCCV2(これは機密認証データまたはSADの形式です)の2種類の支払いカードデータを取得できます。

プレーンテキストPANをデータベース(つまり、不揮発性ストレージ)に保存することはできません-準拠していません要件3.4-次のいずれかの方法を使用して、保存されている場所(ポータブルデジタルメディア、バックアップメディア、ログなど)でPAN読み取り不能)をレンダリングします...

もちろん、「保存」と、「保存」されるまでにディスクに何秒あるかについて長い議論をすることもできますが、ほとんどの評価者は、ディスクストレージを保存済みと見なします(ログファイルもチェックします)。注意:DBがRAMにある場合、それは保存されません。

さらに、「チャット」によるPANの受信は問題になる可能性があります。チャットがTLSを介したWebアプリの場合は、問題ありません。IRCまたはSkypeのようなものであれば、次に、問題が発生します要件4.2-エンドユーザーのメッセージングテクノロジ(電子メール、インスタントメッセージング、SMS、チャットなど)で保護されていないPANを送信しないでください。など)。

これがお役に立てば幸いです。

2
withoutfire