¿Requisitos mínimos para almacenar los últimos 4 dígitos del número de tarjeta de crédito?

Navega tus respuestas
56

Tenemos un sitio web comercial que utiliza CIM y AIM de Autorize.net. Nuestros usuarios pueden tener varias tarjetas de crédito, por lo que nos gustaría darles la oportunidad de distinguir entre las tarjetas de crédito que utilizan en el sitio. Actualmente pensamos en almacenar el nombre del titular de la tarjeta, 4 últimos dígitos del número CC y su fecha de vencimiento.

¿Cuáles son los requisitos mínimos que se deben cumplir para almacenar estos datos confidenciales?

Editar: PCI DSS dice:

  

El número de cuenta principal es el factor que define la aplicabilidad de los requisitos de PCI DSS. Los requisitos de PCI DSS son aplicables si se almacena, procesa o transmite un número de cuenta principal (PAN). Si PAN no se almacena, procesa o transmite, los requisitos de PCI DSS no se aplican.

Por lo tanto, el nombre del titular de la tarjeta y la fecha de caducidad se pueden almacenar sin cumplir los requisitos. Pero ¿qué pasa con los 4 últimos dígitos de PAN?

    
pregunta Andrei Botalov 07.09.2012 - 11:27
fuente

2 respuestas

54

El nombre del titular de la tarjeta, los 4 últimos dígitos del número CC y su fecha de vencimiento son todos NO datos confidenciales. El nombre del titular de la tarjeta y la fecha de vencimiento solo requieren protección si los almacena con el número de cuenta principal completo, no con el número de 4 dígitos truncado.

Si está almacenando, procesando o transmitiendo datos del titular de la tarjeta, debe cumplir con todos los demás requisitos de PCI DSS que menciona kaushal, pero para los elementos que se enumeran, no necesita hacer nada especial para protegerlos.

Consulte las páginas 7 y 8 de las PCI DSS para obtener más información sobre esto: enlace

    
respondido por el freb 07.09.2012 - 21:37
fuente
10

Ciertos productos de pago transfieren la carga del cumplimiento de PCI al proveedor de servicios de pago (Authorize.NET o Paypal Pro). Sin embargo, requieren que un consumidor sea enviado a los servidores del proveedor de pagos para completar su pedido. Si su sitio web se integra con Authorize.NET a través de una API, usted sigue siendo responsable del cumplimiento de PCI, ya que sus servidores capturan y transmiten primero los datos de la tarjeta de crédito.

Es importante que preste atención al requisito 3 de la guía PCI-DSS, que es Proteger los datos del titular de la tarjeta .

Según PCI-DSS enlace ,

A menos que sea un emisor o una empresa que admita servicios de emisión, la Sección 3.2 explica claramente que no puede almacenar datos confidenciales, incluso si están cifrados.

Sin embargo, , si está reteniendo datos confidenciales para el curso normal de sus negocios, entonces debe tener una política de retención y eliminación de datos definida vigente. como se explica en la Sección 3.1.

Y también debe enmascarar datos confidenciales cuando se muestran de acuerdo con la Sección 3.3

Y debe hacer ilegibles los datos confidenciales almacenados como se explica en la sección 3.4

Editar:

Por los requisitos 3.2 y el sub requisito 3.2.1 mencionados en el documento PCI-DSS, me gustaría repetir que Los datos confidenciales en el almacenamiento / transmisión incluyen 1) Número de tarjeta 2) Nombre del titular de la tarjeta 3) Fecha de caducidad 4) Código de servicio

Página 7 & 8 dice, PAN define la aplicabilidad de PCI-DSS.

OMI, la ausencia de una bandeja FULL disuelve cualquier aplicabilidad de PCI-DSS. Estoy de acuerdo con la respuesta anterior.

Por lo tanto, en este caso, PCI-DSS no se aplicará si almacena parte de estos datos junto con los primeros 6 y / o los últimos 4 dígitos del número de la tarjeta de crédito.

    
respondido por el kaushal 07.09.2012 - 12:51
fuente

Lea otras preguntas en las etiquetas

¿Es necesario hackear la red local primero para que los dispositivos de IoT sean accesibles? ¿Debería RSA exponente público solo en {3, 5, 17, 257 o 65537} debido a consideraciones de seguridad?