¿Puedo almacenar los números de identificación del gobierno de acuerdo con el PCI DSS?

Navega tus respuestas
3

Estoy desarrollando un servicio, una parte del cual almacena los datos de la tarjeta de crédito de sus usuarios. De acuerdo con los requisitos de las compañías de tarjetas de crédito israelíes, mis usuarios deben presentar su número de identificación gubernamental al realizar una transacción.

El estándar PCI prohíbe el almacenamiento de CVV y números de PIN de tarjetas de crédito, por razones de seguridad de la información.

Mi pregunta es, ¿puedo estar seguro de que almacenar los números de identificación del gobierno de mis usuarios no está en contra de la norma PCI, ya que cumple casi con el mismo propósito que un CVV o un número de PIN, para verificar el titular de la tarjeta de crédito?

    
pregunta Theodore 21.01.2017 - 22:17
fuente

1 respuesta

2

PCIDSS publica cómo almacena los datos de la tarjeta de pago. Una identificación del gobierno no está cubierta.

Sin embargo, es probable que sea información de identificación personal y aún debe manejarse con cuidado.

El conjunto completo de requisitos está enterrado en un pdf

enlace

Pero, básicamente, tiene que cifrar el número de la tarjeta y no puede conservar el CVV2 / PIN ni ninguno de los datos que pueda leer de una tarjeta (pero eso no puede verlos)

Todo lo demás se puede almacenar sin cifrar.

    
respondido por el ste-fu 21.01.2017 - 23:36
fuente

Lea otras preguntas en las etiquetas

¿Debe un servidor de respaldo estar en una subred / vlan separada de otras máquinas en la red? ¿Es posible extraer secretos de un TPM sin conocer el PIN?