【发布时间】:2020-07-12 13:01:48
【问题描述】:
例如,如果信用卡具有以下属性:
- 名字
- 姓氏
- 信用卡号
- CVV
- 过期
标记只是信用卡号是否足以符合 PCI 标准?
相应地,如果将 ACH 详细信息标记化,详细信息包括:
- ACH 路由
- ACH 银行名称
- ACH 帐号
标记只是 帐号足以符合 PCI 标准吗?
或者,是否每个属性都需要拥有自己的令牌,以便符合 PCI 所需的令牌数量等于属性数量。
【问题讨论】:
【发布时间】:2020-07-12 13:01:48
【问题描述】:
ACH 不属于 PCI 合规性(PCI 代表支付卡行业),它有自己的一套规则,您必须遵守 (see NACHA compliance)。
标记化的目的是向所有人隐藏所有信用卡信息,但需要访问它的人除外。然后该令牌用于代表您系统中的卡。
您在加密中可能是什么意思。首先,你不应该存储信用卡信息,如果你需要这样做,你应该使用第三方来这样做。许多支付网关和服务都提供了这种能力,并为您消除了大部分 PCI 合规负担和风险。但是如果你选择将这些数据存储在本地,PCI outlines你可以使用什么加密,什么必须加密:
- 主帐号
- 持卡人姓名(如果与帐号一起存储)
- 到期日期(如果与帐号一起存储)
您也可以在任何情况下不存储 CVV 号码。
【讨论】:
-
谢谢约翰。我现在得到的信息比我发布问题之前的更多。我非常感谢您在这里的意见和专家的见解。您是否碰巧有任何参考资料支持在任何情况下都不存储 CVV 的想法?
-
我链接的 PCI 文档在第 2 页明确指出
-
嗨@jbooker。如果这个或任何答案已经解决了您的问题,请通过单击复选标记考虑accepting it。这向更广泛的社区表明您已经找到了解决方案,并为回答者和您自己提供了一些声誉。没有义务这样做。