Somos una pequeña empresa y procesamos menos de 500 transacciones con tarjeta de crédito cada año, por lo que caemos en la categoría de comerciantes de nivel 4. Los jefes de la empresa quieren asegurarse de que cumplamos con PCI en todos los niveles. Veo que estamos almacenando los datos de la tarjeta de crédito en una de nuestras bases de datos, pero el número PAN se cifra mediante el cifrado RC2 cuando se desarrolló inicialmente hace años. Todavía siento que el cifrado RC2 es vulnerable a los ataques, aunque usamos una conexión SSL para transmitir los datos.
Tengo algunas cosas en mi mente de la siguiente manera.
- Tokenización
- Eliminando los datos de la Tarjeta de nuestra base de datos y solo transmitimos los detalles a la pasarela de pago.
- Almacenamiento seguro de claves para los datos de la tarjeta cifrada.
Verifiqué con el negocio y me dijeron que la opción 2 para eliminar datos de la tarjeta está bien ya que no necesitan almacenar datos, pero dado que hay algunas transacciones recurrentes, mi pregunta se verá afectada si el almacenamiento de datos de la tarjeta es eliminado ??
Si opto por la opción 3 de proteger las claves utilizadas para descifrar los datos, veo que hay muchos procedimientos que deben seguirse para implementar un sistema de administración de claves comerciales, etc.
¿Puede por favor sugerir cuál es la mejor manera de evitar esto y cumplir?