it-swarm-id.com

Persyaratan minimum untuk menyimpan 4 digit terakhir nomor kartu kredit?

Kami memiliki situs web pedagang yang menggunakan CIM dan AIM Autorize.net. Pengguna kami mungkin memiliki beberapa kartu kredit sehingga kami ingin memberi mereka kesempatan untuk membedakan antara kartu kredit yang mereka gunakan di situs. Saat ini kami berpikir tentang menyimpan nama pemegang kartu, 4 digit terakhir nomor CC dan tanggal kedaluwarsanya.

Apa persyaratan minimum yang harus dimiliki untuk menyimpan data sensitif ini?

Edit: PCI DSS mengatakan:

Nomor akun utama adalah faktor penentu dalam penerapan PCI DSS. Persyaratan PCI DSS berlaku jika nomor akun primer (PAN) disimpan, diproses, atau ditransmisikan. Jika PAN tidak disimpan, diproses atau dikirim, PCI DSS persyaratan tidak berlaku.

Jadi nama pemegang kartu dan tanggal kedaluwarsa dapat disimpan tanpa patuh. Tapi bagaimana dengan 4 digit PAN terakhir?

65
Andrei Botalov

Nama pemegang kartu, 4 digit terakhir nomor CC dan tanggal kedaluwarsanya adalah semua [~ # ~] bukan data sensitif [~ # ~] . Nama pemegang kartu dan tanggal kedaluwarsa hanya memerlukan perlindungan jika Anda menyimpannya dengan nomor rekening utama lengkap, bukan nomor 4 digit yang terpotong.

Jika Anda menyimpan, memproses, atau mentransmisikan data pemegang kartu maka Anda harus memenuhi semua PCI DSS persyaratan yang disebutkan kaushal, tetapi untuk item yang Anda daftarkan, Anda tidak perlu melakukan apapun khusus untuk melindungi mereka.

Lihat halaman 7 dan 8 dari PCI DSS untuk informasi lebih lanjut tentang ini: https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

61
freb

Produk pembayaran tertentu mengalihkan beban kepatuhan PCI ke penyedia layanan pembayaran (Authorize.NET atau Paypal Pro). Namun, mereka mengharuskan konsumen diteruskan ke server penyedia pembayaran untuk menyelesaikan pesanan mereka. Jika situs web Anda terintegrasi dengan Authorize.NET melalui API maka Anda masih bertanggung jawab atas kepatuhan PCI sejak server Anda menangkap dan mengirimkan data kartu kredit terlebih dahulu.

Penting bagi Anda untuk memperhatikan persyaratan 3 panduan PCI-DSS, yaitu Lindungi Data Pemegang Kartu.

Menurut PCI-DSS https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf ,

Kecuali Anda adalah penerbit atau perusahaan yang mendukung layanan penerbitan, Bagian 3.2 dengan jelas menjelaskan bahwa Anda tidak dapat menyimpan data sensitif, bahkan jika dienkripsi.

Namun , jika Anda menyimpan data sensitif untuk kegiatan bisnis normal maka Anda harus memiliki kebijakan penyimpanan dan pembuangan data yang ditetapkan di tempatnya sebagaimana dijelaskan dalam Bagian 3.1.

Dan Anda juga harus menyembunyikan data sensitif saat ditampilkan sesuai dengan Bagian 3.3

Dan Anda harus membuat data sensitif yang disimpan tidak dapat dibaca seperti yang dijelaskan di bagian 3.4

Edit:

Dengan persyaratan 3.2 dan persyaratan sub 3.2.1 yang disebutkan dalam dokumen PCI-DSS, saya ingin mengulangi bahwa data sensitif dalam penyimpanan/transmisi termasuk 1) Kartu Nomor 2) Nama Pemegang Kartu 3) Tanggal Kedaluwarsa 4) Kode Layanan

Halaman 7 & 8 mengatakan, PAN mendefinisikan penerapan PCI-DSS.

IMO, Tidak adanya panci LENGKAP melarutkan setiap penerapan PCI-DSS. Saya setuju dengan jawaban di atas.

Karenanya, dalam hal ini PCI-DSS tidak akan berlaku jika Anda menyimpan bagian dari data ini bersama dengan 6 digit pertama dan/atau 4 digit terakhir dari nomor kartu kredit.

11
kaushal