web-dev-qa-db-ja.com

クレジットカード番号の下4桁を保存するための最小要件は?

Autorize.netのCIMとAIMを使用する販売サイトがあります。ユーザーは複数のクレジットカードを持っている可能性があるため、サイトで使用するクレジットカードを区別する機会を提供したいと考えています。現在、カード所有者名、CC番号の下4桁、およびその有効期限を保存することを検討しています。

この機密データを保存するために保持する必要がある最小要件は何ですか?

編集: PCI DSS言う:

プライマリアカウント番号は、PCI DSS要件の適用性における定義要素です。PCIDSS要件は、プライマリアカウント番号(PAN)が保存されている場合に適用されます) PANが保存、処理、または送信されない場合、PCI DSS要件は適用されません。

そのため、カード所有者の名前と有効期限を準拠することなく保存できます。しかし、PANの下4桁についてはどうでしょうか。

65
Andrei Botalov

カード所有者名、CC番号の最後の4桁、およびその有効期限はすべて[〜#〜] [〜#〜]機密データではありません。カード所有者名と有効期限は、完全なプライマリアカウント番号を使用して保存し、切り捨てられた4桁の番号ではない場合にのみ保護が必要です。

カード会員データを保存、処理、または送信する場合、kaushalが言及する他のすべてのPCI DSS要件を満たす必要がありますが、リストしたアイテムについては何もする必要はありませんそれらを保護するために特別。

これの詳細については、PCIの7ページと8ページを参照してくださいDSS: https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

61
freb

特定の支払い製品は、PCIコンプライアンスの負担を支払いサービスプロバイダー(Authorize.NETまたはPaypal Pro)に転送します。ただし、注文を完了するには、消費者を支払いプロバイダーのサーバーに転送する必要があります。 WebサイトがAPIを介してAuthorize.NETと統合されている場合、サーバーが最初にクレジットカードデータをキャプチャして送信するため、PCIコンプライアンスの責任は引き続きあります。

PCI-DSSガイドの要件3であるProtect Cardholder Dataに注意を払うことが重要です。

PCI-DSS https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf によると、

発行サービスまたは発行サービスをサポートする会社でない限り、セクション3.2は、暗号化されていても機密データを保存できないことを明確に説明しています。

ただし、通常の業務において機密データを保持する場合は、次のことを行います定義されたデータ保持および破棄ポリシーが必要セクション3.1で説明されているように、.

また、セクション3.3に従って表示時に機密データをマスクするも必要です。

また、セクション3.4で説明されているように、保存された機密データを読み取り不可能にするにする必要があります。

編集:

PCI-DSSドキュメントに記載されている要件3.2およびサブ要件3.2.1により、ストレージ/送信の機密データincludes 1)カード番号2)カード所有者名3)有効期限4 )サービスコード

7ページと8ページでは、PAN=はPCI-DSSの適用性を定義しています。

IMO、不在の完全なパンは、PCI-DSSの適用性を解消します。上記の答えに同意します。

したがって、この場合、このデータをクレジットカード番号の最初の6桁または最後の4桁、あるいはその両方と一緒に保存すると、PCI-DSSは適用されません。

11
kaushal