PCI DSS-mask PANおよび個々のアクセスをPAN
2つのPCIをどのように調整しますかDSSアプリケーションの要件:3.3マスクPAN表示された場合(最初の6桁と最後の4桁が最大桁数です)表示される)、正当なビジネスニーズを持つ担当者のみが完全なPANを表示できるようにする10.2.1カード会員データへの個々のユーザーアクセスをすべてログに記録する
より具体的には、アプリケーション検索画面(ユーザー検索に基づく)は、複数の結果を表形式で一覧表示します。特に、PAN、カード所有者名、販売者IDなどです。このような結果表では常にPANユーザーがPANを表示する必要がある場合、マスクされたPANをクリックして完全なPANを表示することができます。このクリックがログ記録メカニズムをトリガーし、特定のユーザーにアクセスしたユーザーを確認できます= PAN(したがって、PCIに準拠するDSS req 10.2.1)。もちろん、ユーザーからすぐにはできないため、ユーザーフレンドリーではないという苦情が寄せられています。特定するPAN彼らが必要とするもの.
私の質問は-これに対するあなたのアプローチは何でしょうか?改善するための提案はありますか?
あなたは良いアプローチをしていると思います。ユーザーが結果表の最初の6つと最後の4つを表示できるときに、カード番号をすぐに識別できないことについてユーザーが不満を言うのは興味深いことです。同じマスクされた番号で2つの結果が得られることはまずありません。
カード所有者データへのアクセスの非常に詳細なロギングがあるため、現在の実装方法は優れています。ただし、ユーザーがファイル上のカード番号(マスクされた結果テーブルに表示されているもの)のいずれかを表示できるようにする必要がある場合は、マスクされたカードの代わりに完全なカード番号を結果テーブルに表示できます。結果。
要件に関する文言が少し紛らわしいことに同意します。
マスクPAN表示された場合(最初の6桁と最後の4桁が表示される最大桁数))、正当なビジネスニーズを持つ担当者のみが完全なPANを表示できます。
要件の私の言い換えはこれです:
マスクPANビジネスなしでユーザーに表示される場合、完全なPANを表示する必要があります
ユーザーがビジネス上の必要がある場合、一度に表示するデータの量に制限はありません。あなたにとっての唯一の困難は、実際にユーザーに表示されたカード番号のログを実装することです。これはシングルカードアプローチほど簡単ではありませんが、データベースまたはアプリケーションのいずれかで対処するために使用できる技術的なソリューションがいくつかあります。
PCI DSS PANデータ(個人アカウント番号)は、保存時に次のプリンシパルに従う必要があります。
- 暗号化PANデータベースでの作成時の番号(通常はHSMデバイスで)
- 解読のみPAN課金アクションが発生したときの番号(繰り返し請求、保存された番号を使用してアイテムを購入するなど)
- PANの最後の4桁のみを個別の列(またはできれば個別のdB)に保存し、可能であれば暗号化する
- お客様には下4桁のみを表示し、「完全なカード番号を明らかにする」ことは決してしないでください
PAN値を復号化してアプリケーションサーバーにプッシュし、その一部のみを表示すると、露出が増加します。それができない場合に、メモリ内の顧客データを公開する理由実際にその目的に使用されていますか?
重要な質問に答えるには、機密データの使用方法や保存方法について厳密なプロトコルを設定することで2つの要件を調整し、提案した問題を取り除きました。