我在做什麼是開發一個財務軟件,並將其連接到一個pci兼容的第三方信用卡公司。我們公司是一家加拿大公司。我們不符合PCI標準,也不打算遵循PCI標準。但我們要保存PAN的最後4位數字以幫助一線員工識別。我必須符合PCI DSS嗎?
如果我只保存PAN的最後4位數,客戶名稱,失效日期和PRN,是否必須符合PCI標準? 如果必須,如果我只用PRN保存PAN的最後4位數字,那麼我必須符合PCI標準嗎?
我閱讀了PCI DSS文檔。它只是說如果我保存PAN,我必須符合pci標準,但並沒有說我是否只保存了最後4位數字。
謝謝。
美國每個以某種方式處理信用卡的網站必須符合PCI標準。合規水平取決於你的行爲。 PCI合規性確實包括存儲信用卡號碼和過期日期的最後四位數字(你可以這樣做,但不建議使用,如果你這樣做,他們建議加密)。
對PCI-DSS適用性的決定性因素是你是否店,過程或發射的主賬號(在卡的正面長數)。
如果你只有號碼的最後四位數字,並且沒有以任何其他方式接觸PAN的任何其他數字,那麼你不需要滿足PCI要求。
但是,如果你有任何地方的完整卡號,即使它只是處理它,那麼你將需要滿足PCI的要求。
您可以將PCI標準(2.0版)提供的PCI網站上的7頁檢查了這一點:在你的應用程序的「任何」 https://www.pcisecuritystandards.org/
如果用戶輸入「任何」信用卡的相關數據,您無論你在做什麼,都必須符合pci標準。另外,遵循pci標準看它日益流行總是有益的。
如果您的公司正在存儲,處理或傳輸持卡人姓名,失效日期,最後4位數字,則無需符合PCI DSS要求。但如果存儲,處理或傳輸持卡人數據以及PAN編號,則必須符合PCI DSS 12要求,但除了要求3.1將不適用,因爲它僅適用於PAN編號。
如果貴公司向第三方供應商提供交易,如支付寶和印度支付等。PCI DSS適用於支付網關和公司。因爲持卡人信息從公司服務器傳輸到支付卡服務器。
哇,四個upvotes。去小工具審查隊列! http://stackoverflow.com/review/first-posts/1145329#./1145329?&_suid=135489302348408670943400354756 – LittleBobbyTables
最佳答案我能找到是Authorize.net網站:
當我讀到它,他們基本上是說,你可以利用一個漏洞。 技術上您不能存儲到期日期。但是,您可以存儲基於截止日期的信息,即您想要提醒客戶更新其卡的日期。
如果您使用像shift4這樣的人進行處理,授權等,那麼你沒有PCI要求;基本上,沒有持卡人數據(CHD)和主帳號(PAN)意味着您不必擔心PCI-DSS。像shift4這樣的公司只會爲您返回任何付款和/或授權/驗證請求的令牌和授權碼,因爲您不存儲PAN或CHD,所有PCI-DSS都在Shift4或任何您使用的位置。另外,像shift4這樣的公司可以存檔數據,並提供報告,並能夠調解糾紛等。100,000.00罰款第一次PCI進攻... – user1011144