¿Cumple el cumplimiento de PCI-DSS si parte del número de tarjeta y el vencimiento están almacenados solamente? [duplicar]

IANAQSA! Esa información no te pone en el alcance, pero probablemente estés en el alcance de todos modos, pero gracias a la relación que tengas que te permita acceder a esos datos sin alcance.

Para citar PCI-DSS 3.2 (énfasis según la fuente):

  

El número de cuenta principal es el factor que define los datos del titular de la tarjeta. Si el nombre del titular de la tarjeta, el código de servicio y / o la fecha de vencimiento son   almacenados, procesados o transmitidos con el PAN, o son de otro modo   presentes en el entorno de datos del titular de la tarjeta (CDE), deben ser   protegido de acuerdo con los requisitos aplicables de PCI DSS.

Si nunca tiene el Número de cuenta principal completo, no tiene los datos del titular de la tarjeta. Eso no quiere decir que no esté sujeto al DSS, sin embargo . Incluso un comerciante que subcontrata todo el manejo de los datos de su tarjeta a su proveedor de servicios está sujeto a algo como el SAQ A (Cuestionario de autoevaluación).

Lo que está describiendo (el primer 6, el último 4) se llama Truncamiento y se describe en la sección 3.4 del DSS. ¿Alguien, su proveedor de servicios? - está truncando los números de tarjeta y entregándolos a usted en lugar de los números de tarjeta. Si ese es el caso, su proveedor de servicios debe tener autoridad para ayudarlo a determinar cuál es su alcance bajo el DSS.

Todo se reduce a esto:

  

PCI DSS se aplica a all entidades involucradas en la tarjeta de pago   procesamiento, incluidos comerciantes, procesadores, adquirentes, emisores y   proveedores de servicios.

¿Esos números truncados te ponen en el alcance? No. Si está recibiendo números truncados, ¿es probable que esté en una relación que lo haga sujeto a las PCI DSS como se indica anteriormente? Muy probable, sí.