¿Puedo almacenar los siguientes datos del titular de acuerdo con PCI DSS v3?
En resumen: Sí , puede almacenar todos esos datos, sin cifrado, bajo el DSS, siempre que no esté almacenando el PAN (el número de la tarjeta de crédito) .
Sin embargo, parte de esa información cae bajo las regulaciones de PII de varios estados, y su falta de protección estaría sujeta a varias multas. Así que el hecho de que al DSS no le importe no significa que no deba hacerlo.
En detalle:
El DSS 3.2 declara (énfasis mío):
PCI DSS también se aplica a todas las demás entidades que almacenan, procesan o
transmitir datos del titular de la tarjeta (CHD) y / o datos confidenciales de autenticación
(SAD)
CHD y SAD se definen de la siguiente manera (también en DSS 3.2):
Si bien el nombre del titular de la tarjeta y la fecha de caducidad figuran en CHD, la siguiente advertencia indica que solo se consideran CHD junto con el PAN (énfasis original al DSS):
El número de cuenta principal es el factor que define los datos del titular de la tarjeta.
Si se almacenan el nombre del titular de la tarjeta, el código de servicio y / o la fecha de vencimiento,
procesados o transmitidos con el PAN, o están de otro modo presentes en el
entorno de datos del titular de la tarjeta (CDE), deben estar protegidos en
de acuerdo con los requisitos aplicables de PCI DSS.
Por implicación, si el PAN no está presente, entonces los otros campos de datos listados no deben protegerse según los requisitos del DSS.
Finalmente, aunque estas citas son del DSS 3.2, casi no han cambiado desde 3.0 / 3.1 y 2.x ( hasta el mejor de mis recuerdos ; no he comprobado dos veces).