Referencia de PCI de los primeros seis dígitos de la tarjeta de crédito

Navega tus respuestas
3

Necesito almacenar el PAN enmascarado con los primeros seis dígitos y los últimos cuatro dígitos junto con el mes y el año de vencimiento de la tarjeta. ¿Es seguro hacerlo de acuerdo con las reglas de PCI?

En relación con cuatro dígitos se ha discutido previamente en la siguiente publicación.

Requisitos mínimos para almacenar el último Cuatro dígitos

Menciona que el almacenamiento de los primeros seis dígitos y los últimos cuatro dígitos está bien con el cumplimiento de PCI. ¿Hay alguna documentación oficial de PCI con esta información?

Me referí a pci_dss_v2 y pci_fs_data_storage , pero no pudo encontrar una respuesta.

  

3.3 Máscara PAN cuando se muestra (la primera   seis y últimos cuatro dígitos son el máximo   número de dígitos a mostrar).

La regla que más se refiere es el requisito 3.3. Pero esto solo se aplica si estoy almacenando el PAN, pero no menciona nada sobre el almacenamiento de los primeros seis + máscaras + los últimos 4 dígitos. Agradecemos cualquier ayuda ...

    
pregunta Dhanuka777 08.03.2016 - 01:24
fuente

3 respuestas

2

Teniendo en cuenta que sus preguntas indican que ya está procesando datos del titular de la tarjeta, ya sea transfiriendo PAN o almacenando PAN (parciales), usted entra en la categoría de SAQ-D. Por lo tanto, esto significa que ya debería estar realizando auditorías de PCI (siempre que tenga más de 300 mil transacciones por año), por lo que lo mejor es consultar con su QSA y ver qué dicen.

    
respondido por el Lucas Kauffman 08.03.2016 - 02:36
fuente
1

Los primeros 6 dígitos no son información extremadamente sensible. Comprenden el IIN o el Número de Identificación del Emisor ( enlace ). Los últimos cuatro dígitos tampoco se consideran información sensible. De hecho, los primeros seis y los últimos cuatro son el número máximo de dígitos que se pueden mostrar (consulte PCI DSS 3.3 enlace Todas las demás referencias de números PCI provienen de este documento).

Sin embargo, la Fecha de EXP + PAN se considera información confidencial. La página 2 de este documento tiene una buena explicación de los procedimientos de almacenamiento ( enlace ).

Además 3.4 se aplica en este caso. Ha dejado el número inutilizable a través del truncamiento (aunque la suma de comprobación de Luhn permite que el número sea adivinable). Sin embargo, debe proteger la Fecha de EXP y se recomienda (tenga en cuenta que no parece ser necesario) no almacenar el PAN truncado en el texto del plan, sino apilar la protección con hashing o cifrado de una manera.

    
respondido por el AstroDan 08.03.2016 - 02:29
fuente
1

He mezclado el significado de los diferentes requisitos y tengo cierta confusión.

Requisitos 3.3 "Enmascara el PAN cuando se muestra (los primeros seis y los últimos cuatro dígitos son el número máximo de dígitos que se mostrarán)". habla de visualización no de almacenamiento! si enmascara el PAN, proporciona una solución para este requisito.

Requisitos 3.4 3.4 Hacer que el PAN sea ilegible en cualquier lugar donde esté almacenado ... "¡habla de que el almacenamiento no se muestra!

Usted escribió "Necesito almacenar PAN enmascarado" PAN enmascarado está relacionado con el Requisito 3.3. y el almacenamiento está relacionado con el requisito 3.4 para cumplir con este requisito, puede utilizar hash / truncation / cryptography / token

    
respondido por el BokerTov 10.03.2016 - 10:00
fuente

Lea otras preguntas en las etiquetas

¿Por qué los clientes, especialmente las aplicaciones móviles, siguen utilizando las suites Cipher débiles? Firefox & Chrome Strong Ciphers