Exigences minimales pour stocker les 4 derniers chiffres du numéro de carte de crédit?
Nous avons un site Web marchand qui utilise le CIM et l'AIM d'Autorize.net. Nos utilisateurs peuvent avoir plusieurs cartes de crédit, nous voudrions donc leur donner la possibilité de distinguer les cartes de crédit qu'ils utilisent sur le site. Actuellement, nous pensons à stocker le nom du titulaire de la carte, les 4 derniers chiffres du numéro CC et sa date d'expiration.
Quelles sont les exigences minimales à respecter pour stocker ces données sensibles?
Modifier: PCI DSS dit:
Le numéro de compte principal est le facteur déterminant dans l'applicabilité des exigences PCI DSS. PCI DSS sont applicables si un numéro de compte principal (PAN) est stocké, traitées ou transmises. Si PAN n'est pas stocké, traité ou transmis, les exigences PCI DSS ne s'appliquent pas).
Ainsi, le nom du titulaire de la carte et la date d'expiration peuvent être stockés sans être conformes. Mais qu'en est-il des 4 derniers chiffres de PAN?
Le nom du titulaire de la carte, les 4 derniers chiffres du numéro CC et sa date d'expiration sont tous [~ # ~] pas [~ # ~] des données sensibles. Le nom et la date d'expiration du titulaire de carte ne nécessitent une protection que si vous les stockez avec le numéro de compte principal complet, et non le numéro tronqué à 4 chiffres.
Si vous stockez, traitez ou transmettez des données de titulaire de carte, vous devez répondre à toutes les autres exigences PCI DSS mentionnées par kaushal, mais pour les éléments que vous avez répertoriés, vous n'avez rien à faire spécial pour les protéger.
Consultez les pages 7 et 8 du PCI DSS pour plus d'informations à ce sujet: https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf
Certains produits de paiement transfèrent la charge de la conformité PCI au fournisseur de services de paiement (Authorize.NET ou Paypal Pro). Cependant, ils exigent qu'un consommateur soit transmis aux serveurs du fournisseur de paiement pour finaliser sa commande. Si votre site Web s'intègre à Authorize.NET via une API, vous êtes toujours responsable de la conformité PCI puisque vos serveurs capturent et transmettent les données de carte de crédit en premier.
Il est important pour vous de tenir compte de l'exigence 3 du guide PCI-DSS, qui est Protéger les données des titulaires de carte.
Selon PCI-DSS https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf ,
Sauf si vous êtes un émetteur ou une entreprise qui prend en charge l'émission de services, la section 3.2 explique clairement que vous ne pouvez pas stocker de données sensibles, même si elles sont cryptées.
Cependant , si vous conservez des données sensibles dans le cours normal des affaires, vous doit avoir une politique définie de conservation et d'élimination des données en place, comme expliqué à la section 3.1.
Et vous devez également masquer les données sensibles lorsqu'elles sont affichées conformément à la section 3.3
Et vous devez rendre les données sensibles stockées illisibles comme expliqué dans la section 3.4
Modifier:
Par les exigences 3.2 et sous-exigence 3.2.1 mentionnées dans le document PCI-DSS, je voudrais répéter que les données sensibles en stockage/transmission incluent 1) Carte Numéro 2) Nom du titulaire de la carte 3) Date d'expiration 4) Code de service
Les pages 7 et 8 indiquent: PAN définit l'applicabilité de PCI-DSS.
IMO, Absence de pan complet dissout toute applicabilité PCI-DSS. Je suis d'accord avec la réponse ci-dessus.
Par conséquent, dans ce cas, PCI-DSS ne s'appliquera pas si vous stockez une partie de ces données avec les 6 premiers et/ou les 4 derniers chiffres du numéro de carte de crédit.