Almacenamiento de datos de CardHolder usando el cifrado RC2

Navega tus respuestas
0

Me gustaría saber si el almacenamiento de datos del titular de la tarjeta de crédito mediante el cifrado RC2 requiere ser compatible con PCI DSS. Actualmente, el número PAN de 16 dígitos y la fecha de caducidad se almacenan en la base de datos. El número PAN se cifra antes de almacenar y el sitio utiliza SSL para transmitir los datos a la pasarela de pago. ¿Debemos seguir cumpliendo con los requisitos de PCI DSS si almacenamos datos de titulares de tarjetas cifrados?

    
pregunta Nancy 17.11.2014 - 07:25
fuente

2 respuestas

1

Sí, si recibe, transmite o almacena datos del titular de la tarjeta en cualquier forma, debe cumplir con el PCI-DSS. De hecho, una de las cosas que debe hacer en PCI-DSS es cifrar esos datos utilizando un cifrado fuerte. Aunque no soy un auditor de PCI, sospecharía que RC2 no se consideraría, en realidad, un cifrado sólido, por lo que no solo está sujeto a PCI-DSS, sino que también lo está violando.

    
respondido por el Xander 17.11.2014 - 19:39
fuente
0

Risky Behavior

Una encuesta de negocios en los Estados Unidos y Europa revela actividades que pueden poner en riesgo los datos de los titulares de tarjetas.

81% números de tarjetas de pago de tiendas

Fechas de vencimiento de la tarjeta de pago del 73%

71% códigos de verificación de la tarjeta de pago de la tienda

57% almacena datos de clientes de la banda magnética de la tarjeta de pago

El 16% almacena otros datos personales

Fuente: Forrester Consulting: El estado de cumplimiento de PCI (encargado por RSA / EMC)

NO LO HAGA

enlace

Requisito 3: Proteger los datos almacenados del titular de la tarjeta

En general, no se deben almacenar datos del titular de la tarjeta a menos que sea necesario para satisfacer las necesidades de la empresa. Los datos confidenciales en la banda magnética o el chip nunca deben almacenarse.

Si su organización almacena PAN, es crucial hacerlo ilegible (ver 3.4).

3.4 Render PAN, como mínimo, ilegible en cualquier lugar donde se almacene, incluso en portátiles digitales medios, medios de copia de seguridad, registros y datos recibidos o almacenados por redes inalámbricas. Las soluciones tecnológicas para este requisito pueden incluir funciones hash unidireccionales fuertes, truncamiento, tokens de índice, almohadillas almacenadas de forma segura o criptografía fuerte.  (Consulte el Glosario de PCI DSS para obtener una definición de criptografía segura).

    
respondido por el ADarkGerm 17.11.2014 - 19:33
fuente

Lea otras preguntas en las etiquetas

iptables intercepta el paquete recibido con el proxy y luego lo reenvía al destino Mecanismos para evitar la propagación de errores en redes inalámbricas con respecto al efecto de avalancha [cerrado]