Estoy considerando la implementación de un proceso de generación de token PCI basado en un código MAC obtenido de PAN. Esto sería un token irreversible.
El método que tengo en mente me parece bien, pero no estoy seguro de que funcione con un QSA. Algunos consejos sobre los posibles fallos de mi receta serían muy apreciados.
Aquí están los detalles:
- El token sería un valor de 32 dígitos, 10 de los cuales serían decimales y 8, hexadecinal. Los 10 dígitos decimales serían los primeros 6 y los últimos 4 dígitos del PAN. Se agregan solo para crear variedad y evitar colisiones;
- Los 8 dígitos hexadecimales serían un CBC MAC obtenido de una cadena de 32 caracteres formada por el PAN XORed con una sal, más un relleno hecho de algunos dígitos PAN (repetidos);
- El HSM que estoy usando solo es compatible con 3DES con teclas de doble longitud (sin AES, sin SHA-256, etc.);
¿Alguien tiene una opinión sobre este método?