PCI/决策支持系统:静态数据
题
您会考虑在静态数据类别中使用缓存产品吗?
解决方案
这是一个复杂的问题,但保持24小时以上,任何被视为“存储”,并且是在关于卡中的数据是如何处理的严格控制 - 例如没有CV2
但你也该数据必须是在它的途中到卡交易,而不是在交易完成后的返回路径。
您可能需要讨论您的具体例子,正是利用你关心你的QSA该卡的数据位
其他提示
是。没关系该产品是什么,如果它存储,处理或随后发送的支付卡数据是PCI-DSS的范围之内。
话虽如此,如果你的cacheing设备只存储加密数据并没有获得用于解密任何密钥,那么你应该能够与您的QSA同意,这是超出范围你的评价。
如果它处理未加密的支付卡数据,或者如果它能够访问解密密钥,那么你将必须实现至少一个子集的PCI-DSS控制的cacheing设备。
同意这很复杂,但根据我的理解,您可以从 PCI-DSS 中借鉴一些原则:
- 持卡人数据在开放网络上传输时必须加密。因此,如果您有本地缓存,并且缓存中的数据要通过开放网络传输,那么这就是您必须解决的问题。
- 只存储您需要的内容。如果您不需要持卡人数据的某些部分,包括 CV2、到期时间,则不要存储它,即使它存储在不能被视为静态数据的位置。
在我看来,如果您的缓存存储持卡人数据,则它违反了标准。与数据存储(以及其他)相关的目的是将存储、使用、传输限制在敏感数据实际需要的地方。如果没有您提供有关缓存内容的更多详细信息,我无法想象为什么您需要缓存敏感数据。
我当然同意 Cheekysoft 先生的观点,即您应该开诚布公地与您的 QSA 讨论,因为我相信他/她一旦了解细节将能够为您提供一些指导。
不隶属于 StackOverflow