是PCI-DSS允许的最后4位数字的信用卡和有效期限存储吗?
我们需要存储信用卡的最后4位数字(为了让客户知道他们已经使用了哪张卡片)和有效期限(通知客户他们的卡片即将过期),以用于我们的订阅/定期付款SaaS应用。是PCI-DSS允许的最后4位数字的信用卡和有效期限存储吗?
是PCI DSS允许的那两种数据存储吗?请参考官方网站或文件链接。
请注意:我们不存储名称取卡和CVV号码
你应该确定W¯¯关于PCI法规。
该表规定了数据可以存储什么: https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf
“如果需要为经营宗旨,持卡人的姓名,PAN,到期日和服务代码可以,只要他们按照保护存储满足PCI DSS要求“。
-edit- 根据该文档的底部表格,它说你应该能够存储这些元素。由于您没有储存完整的PAN,条例3.4不适用于其他要素。
如果有帮助,我们获得了1级认证,并且我们以明文形式存储了最后4个和到期日期。除非你是第一级(假设商户在这里,而不是服务提供商),否则你不需要审计。
谢谢。但这里的关键句子是“它们受到PCI DSS要求的保护”。这意味着我们需要按照PCI和DSS指南对存储和数据中心进行审计。根据这些文档,它提到如果您要存储PAN,则您的存储必须符合PCI DSS标准。但我无法找到任何说最后4位数字+有效期限组合需要相同的地方。 –
名称,最后4位和exp日期不是SAD(敏感验证数据)。 –
从我所内阅读PCI数据存储做与不该做PDF(https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf)
您能够存储的截止日期,服务代码,持卡人姓名,只要你做不存储PAN。从PDF
直接报价:
如果存储在与PAN结合这些数据元素必须得到保护。此保护措施应符合持卡人数据环境一般保护的PCI DSS要求。此外,其他法律(例如涉及消费者个人数据保护,隐私,身份盗用或数据安全)可能需要对这些数据进行特别保护,或者如果在使用期间收集与消费者有关的个人数据,则需要适当披露公司的做法业务过程。但是,如果没有存储,处理或传输PAN,PCI DSS不适用。
你想让人们为你做你的研究吗?为什么不*你去官方文档并自己阅读它们?你想要的信息就在那里。 –
@JohnConde我研究得不够。我自己读了多个答案。我从www.pcisecuritystandards.org浏览了多个PDF文档。没有明确的答案,这就是为什么我问问题从专家那里得到建议。 –