¿Cómo se vuelven a conciliar dos requisitos de PCI DSS en las aplicaciones? 3.3 Máscara PAN cuando se muestra (los primeros seis y los últimos cuatro dígitos son el máximo número de dígitos que se mostrarán), de modo que solo el personal con una necesidad comercial legítima pueda ver el PAN completo. 10.2.1 Registrar todos los accesos de usuarios individuales a los datos del titular de la tarjeta
Para ser más específico, la pantalla de búsqueda de aplicaciones (basada en la búsqueda de usuarios) muestra múltiples resultados en formato de tabla donde, entre otros, se encuentra PAN, el nombre del titular de la tarjeta, la identificación del comerciante, etc. para ver el PAN, él / ella puede hacer clic en el PAN enmascarado para ver el PAN completo. Este clic activa el mecanismo de registro y podemos ver a qué usuario accedió a cierto PAN (por lo tanto, cumpliendo con el requisito de PCI DSS 10.2.1). Por supuesto, recibimos quejas de los usuarios, que no es fácil de usar porque no pueden identificar inmediatamente el PAN que necesitan.
Mis preguntas serían: ¿cuál sería su enfoque de esto? ¿Alguna sugerencia para mejorar?