¿El almacenamiento temporal de un archivo no cifrado que contiene algunos PAN infringe los requisitos de pci? (por ejemplo, porque está siendo procesado por una aplicación o para abrirlo en un editor de archivos)
Sí, es una violación de Requisitos de PCI-DSS , específicamente el requisito 3.4:
Haga que el PAN sea ilegible en cualquier lugar donde se almacene (incluso en medios digitales portátiles, medios de copia de seguridad y registros) utilizando cualquiera de los siguientes métodos:
- Hashes de una vía basados en criptografía fuerte (el hash debe ser de todo el PAN)
- Truncamiento (el hashing no se puede usar para reemplazar el segmento truncado de PAN)
- tokens y almohadillas de índice (las almohadillas deben almacenarse de forma segura)
- Criptografía sólida con procesos y procedimientos de administración de claves asociados
Sí, no puede escribir PAN sin cifrar. Si alguien pudiera forzar un bloqueo mientras se está trabajando en ese archivo, lo dejaría en el servidor para que cualquiera pueda acceder y el archivo podría ser leído por otros procesos.
No existe tal cosa como un archivo "temporal". Solo hay archivos permanentes de los que pretende deshacerse pronto.
Además, ¿por qué necesitas abrirlo en un editor de archivos para empezar? Parece que está pidiendo todo un conjunto de problemas de PCI por sí mismo.
Lea otras preguntas en las etiquetas credit-card encryption pci-dss