0
설정에서 기본 계정 번호 (PAN), 만료 날짜 및 기타 정보에 대한 토큰을 받고 있습니다. 이 정보를 데이터베이스에 저장해야합니다. 우리가 실제 PAN을 얻지 못하면 만료일을 암호화 할 필요가 있습니까/권장됩니까? 토큰 자체를 암호화해야합니까?PCI 규정 준수 - 실제 계정 번호 대신 토큰을 받으면 만료일을 암호화해야합니까? 토큰을 암호화해야합니까?
A
답변
2
토큰은 이미 무의미하므로 암호화하는 것은 과도한 것처럼 보입니다.
는
편집는 그냥 PCI DSS 3.0 Quick Ref.을 보면서 여기의 말씀입니다 : 지불 카드와 관련된
상인 및 기타 서비스 제공 업체 처리 승인 이후에 민감한 인증 데이터를 저장하지 않습니다해야합니다. 여기에는 카드에 인쇄 된 민감한 데이터 인 또는 카드의 마그네틱 스트라이프 또는 칩에 저장된 민감한 데이터와 카드 소유자가 입력 한 식별 번호가 포함됩니다 ( ).
정보를 암호화하는 대신 폐기해야하는 것처럼 보입니다.
0
PCI/DSS 표준에 따르면 암호화는 실제로 범위를 벗어나지 않으므로 실제로 거의 가치가 없습니다. 데이터를 암호화해서는 안되며 실제로 PCI/DSS 질문에 영향을 미치지 않습니다.
성명서는이 문서의 15 페이지에 나오는 내용과 모순되는 것으로 보입니다. PAN을 저장하지 않으면 유효 기간을 저장할 수 있습니다. 그리고 그것은 읽을 필요가 없습니다 ... –
그 말은, 그 문서는 2010 년부터입니다 ... (2 페이지 참조) –