Si transmitimos un número de tarjeta de 16 dígitos de un proveedor de servicios a mi aplicación, entonces se aplica PCI DSS.
Pero si usamos (transmitimos / almacenamos) solo los primeros 6 y los últimos 4 dígitos del número de la tarjeta y la fecha de vencimiento, ¿estamos obligados a cumplir con PCI DSS?
Desde el punto de vista de las PCI DSS, no se considera "Datos del titular de la tarjeta" a menos que incluya el Número de cuenta principal completo (el número de la tarjeta de 16 dígitos), por lo que si nunca toca sus sistemas, están realmente fuera de alcance.
Si lo está viendo más allá de puramente PCI, entonces vería si realmente necesita tanto: transmitir / almacenar los primeros seis y los últimos cuatro deja solo 10,000 combinaciones posibles para obtener el "completo "PAN, todavía hay trabajo por hacer para obtener detalles suficientes para" robar "la tarjeta, pero a menos que tenga una razón específica para necesitar la mayor parte del PAN, ¿por qué hacerlo?
Si acepta tarjetas de crédito como pago, debe cumplir con las normas PCI DSS. Cómo aceptas las tarjetas de crédito determina a qué nivel. Por ejemplo, si tiene un terminal de conexión que se conecta a una línea POTS y ninguno de ellos toca su red, aún debe cumplir con el PCI y hacer un Cuestionario de autoevaluación. Cada SAQ comienza con una sección que dice "Antes de comenzar" que le guía a través de la que se ajusta.
PS Si contrata completamente el procesamiento de datos de tarjetas de crédito a un tercero, aún debe completar un informe de SAQ-A.
No. Un PAN truncado (es decir, los primeros 6, últimos 4 solamente) no necesita estar protegido por PCI DSS. (Una vez fui un QSA).
Hay un FAQ muy claro en el sitio web de PCI SSC: enlace
Lea otras preguntas en las etiquetas pci-dss