PCI/DSS：静态数据

这是一个复杂的问题，但超过24小时的任何事情都被视为“存储”，并且严格控制卡数据的处理方式 - 例如，无CV2。

但是，您也必须将数据发送到卡交易，而不是交易后的返回路径。

你可能需要讨论您的具体例子，正是你担心有什么用卡数据的哪个位的QSA

同意这是复杂的，但根据我的理解，有几个校长您可以从PCI-DSS中抽取：

1. 持卡人数据在通过开放网络传输时必须加密。所以如果你有一个本地缓存，并且缓存中的数据将通过一个开放的网络进行传输，那么你将不得不解决这个问题。
2. 只存储你需要的东西。如果您不需要持卡人数据的某些部分（包括CV2）到期，那么即使其存储在哪些不能被视为静止的数据中，也不会存储它。

它似乎在我看来，如果你的缓存存储持卡人数据，它违背了标准的粒度。关于数据存储（其他）的意图是将存储，使用和传输限制在敏感数据实际需要的地方。没有你的缓存内容的进一步细节，我不能想象为什么你需要缓存敏感数据。

我当然同意Cheekysoft先生的看法，您应该公开并与您的QSA进行讨论，因为我确信他/她曾经对细节进行了启发，能够为您提供一些指导。

是的。如果产品存储，处理或传输支付卡数据并不重要，那么它在PCI-DSS的范围内。

话虽如此，如果您的缓存设备只存储加密数据，并且无法访问任何用于解密的密钥，那么您应该能够同意您的QSA认为它超出了您的评估范围。

如果它确实处​​理未加密的支付卡数据，或者它有权访问解密密钥，那么您将必须为缓存设备实现至少一个PCI-DSS控件的子集。