Al proporcionar el primer 4 y el último 4 de la tarjeta de crédito al proveedor, ¿no considera la fecha de vencimiento o el número CVV2?
Por PCI-DSS Req. 3.3 Se le permite mostrar como máximo los primeros 6 y los últimos 4.
Esto generalmente no es necesario (la mayoría del software solo usa los últimos 4).
He visto a muchas compañías de aplicaciones adoptar la postura de que necesitan los dígitos de PAN para encontrar transacciones, sin embargo, esto suele deberse a la implementación deficiente del software y la mayor parte de la industria ha pasado a proporcionar tokens. .
No es realmente una cuestión de seguridad más que comprobar que el PAN completo no esté almacenado en ningún lugar.
Nota:
Algunos estados / ciudades tienen requisitos de destinatarios que requieren "4 y 4" o "6 y 4", o solo 4. E.G New York
Lea otras preguntas en las etiquetas credit-card