Al almacenar solo la parte BIN de PAN, ¿califica esto como un PAN completo?

2

Estamos considerando convertirnos en una queja PCI-DSS. Deseamos minimizar el impacto que tendrá en nosotros y en nuestro negocio. Como esto puede ser un ejercicio muy costoso. Según tengo entendido, si no almacena datos del titular de la tarjeta que disminuyen el riesgo.

Mi pregunta es si almacenamos solo la parte BIN del PAN, ¿esto califica como información del titular de la tarjeta? Deseamos almacenar el BIN en combinación con el nombre del titular de la tarjeta.

Cualquier aclaración sería muy apreciada.

    
pregunta Rup 26.07.2012 - 09:53
fuente

1 respuesta

4

Almacenar solo la parte BIN del PAN no califica como un PAN completo. Cuando esté pensando en el almacenamiento PAN, debe tener en cuenta el Requisito 3: Proteger los datos almacenados de los propietarios de automóviles. Su pregunta es respondida por el requisito 3.4 (este es un extracto del documento de navegación PCI-DSS):

  

3.4 Render PAN ilegible en cualquier lugar donde se almacene (incluso en   medios digitales portátiles, medios de copia de seguridad y registros) mediante el uso de cualquiera de   los siguientes enfoques: hashes de una vía basados en criptografía fuerte (hash debe   ser de todo el PAN), Truncamiento (el hashing no se puede usar para reemplazar el truncado   segmento de PAN), fichas de índice y almohadillas (las almohadillas deben almacenarse de forma segura), criptografía fuerte con procesos y procedimientos de gestión de claves asociados

Lo que estás tratando de hacer se conoce como "Truncamiento", limitado a los primeros seis dígitos:

  

La intención del truncamiento es que solo una parte (que no exceda las primeras seis y últimas   Se almacenan cuatro dígitos) del PAN.

    
respondido por el Gael Muller 26.07.2012 - 11:37
fuente

Lea otras preguntas en las etiquetas