web-dev-qa-db-ja.com

クレジットカードストアの最初の6桁のPCIリファレンス

マスクされたPANを最初の6桁と最後の4桁で、カードの有効期限月と年と共に保存する必要があります。PCIルールに従って安全に保存できますか?

4桁については、次の投稿で以前に説明されています。

最後の4桁を保存するための最小要件

最初の6桁と最後の4桁を格納することは、PCI準拠で問題ないと述べています。この情報が記載された公式のPCIドキュメントはありますか?

pci_dss_v2 および pci_fs_data_storage を参照しましたが、回答が見つかりませんでした。

3.3マスクPAN表示時(最初の6桁と最後の4桁が表示される最大桁数です)。

ほとんどのルールは3.3要件です。しかし、これは私がdisplayingPANである場合にのみ適用されますが、storing最初の6桁+マスク+最後の4桁。どんな助けにも感謝します...

5
Dhanuka777

質問を検討すると、PANの転送または(部分的な)PANの保存のいずれかによって、カード所有者データを既に処理していることがわかり、SAQ-Dのカテゴリに分類されます。つまり、これはすでにPCI監査を受けていることを意味します(年間30万件を超えるトランザクションがある場合)、QSAで確認し、その内容を確認することをお勧めします。

3
Lucas Kauffman

私は、異なる要件の意味を混合し、特定の混乱を持っています。

要件3.「マスクPAN表示された場合(最初の6桁と最後の4桁は表示される最大桁数です)」について話しますdisplayストレージではありません! PAN=をマスクすると、この要件に対するソリューションが提供されます。

要件3.4 3.4レンダリングPAN保存されている場所では判読できません... "について話しますストレージは表示されません!

「マスクされたPANを保存する必要があります」と書きました。マスクされたPANは要件3.3に関連し、ストレージは要件3.4に関連してこの要件を満たすために、一方向ハッシュ/トランケーション/暗号化/トークンを使用できます

2
BokerTov

最初の6桁は非常に機密性の高い情報ではありません。 IINまたは発行者識別番号( https://en.wikipedia.org/wiki/Bank_card_number )で構成されます。最後の4桁も機密情報とは見なされません。実際、最初の6桁と最後の4桁は、表示が許可される最大桁数です(PCI DSS 3.3 https://www.pcisecuritystandards.org/documents/を参照)。 pci_dss_v2.pdf 他のすべてのPCI番号の参照は、このドキュメントからのものです)。

ただし、EXP日付+ PAN ISは機密情報と見なされます。このドキュメントのページ2には、保存手順の素敵な説明があります( https:// www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf )。

さらに、この場合は3.4が適用されます。数値を切り捨てて使用できないようにしました(ただし、Luhnチェックサムでは数値を推測できるようになっています)。ただし、EXP日付を保護する必要があります。プランテキストに切り捨てられたPAN)を保存せず、一方向のハッシュまたは暗号化でスタック保護することをお勧めします(必須ではないようです)。 。

2
AstroDan