En los requisitos de PCI DSS 3.1, el término "tienda" se usa a menudo. Por ejemplo, el requisito 3.2 dice: "No almacenar datos confidenciales de autenticación después de la autorización (incluso si están cifrados) ..." ¿Significa esto que los datos confidenciales de autenticación pueden mantenerse en la memoria e incluso transmitirse entre sistemas después de una autorización o es el uso de la memoria (RAM)? ) considerado almacenamiento?
IANAQSA
En el PCI DSS, "tienda" básicamente significa "guardar una copia de, fuera de las copias que son necesarias para la cadena de procesamiento real". No es tanto el método de "almacenamiento" como la intención.
Por lo tanto, SAD se puede guardar en la memoria, escrito en una base de datos, o incluso guardado en un archivo como un componente necesario del procesamiento. Los archivos de procesamiento por lotes son el ejemplo más obvio de esto. He oído que los QSA describen el período aceptable para este estado de almacenamiento y procesamiento como "horas, no más de 24"; Aquí hay un fragmento de Braintree que afirma que podría estar listo a dias Debes discutir tu situación con tu QSA; ellos son los únicos cuya opinión importa.
Del mismo modo, si mantiene el SAD en la memoria después de que ya no era necesario para el procesamiento, está violando la cláusula "no almacenar". Usted podría, hipotéticamente, configurar un par de programas para hacer ping-pong de los datos SAD a través de la red para que siempre se transmitieran; Si no necesitabas esos datos para un paso de procesamiento, aún estás "almacenándolos" cuando no deberías.
Lea otras preguntas en las etiquetas pci-dss