重複の可能性:
e コマース サイト内にクレジット カード番号を保存する必要があります。クレジット カード番号全体を保存するつもりはありません。非常に危険だからです。カードを発行した金融機関を後で特定できるように、少なくとも最初の 5 桁を保存したいと考えています。理想的には、将来の相互参照などを支援するために、安全にできる限り多くのクレジット番号を保存したいと考えています.
何桁、どの桁を安全に保存できますか?
たとえば、これは十分に安全ではないと思います。
5555 5555 555* 4444
欠けている桁を計算できるからです。
同様に、これは安全ですが、それほど有用ではありません:
5555 5*** **** ****
部分的なクレジット番号を保存するための広く受け入れられているパターンはありますか?
Payment Card Data Security Standard では、カード所有者のデータを処理する場合、PCI DSS の制約に従うことが規定されています (これは非常に包括的であり、準拠が困難です)。カード番号の一部を保存したいが、標準を処理する必要がない場合は、a)最初の 6 桁と最後の 4 桁を超えて保存しないことを確認する必要があります。b) これ以上のデータを保存、処理、または送信しないでください。つまり、データが制御できるようになる前に、切り捨てを実行する必要があります。
あなたがeコマースサイトについて話していることを考えると、遅かれ早かれPCI DSSに対処する必要があると思います(完全なPANを取得していないとトランザクションを処理できないため). したがって、現実的には、PAN の最初の 6 桁と最後の 4 桁以上を保存することは避けるべきです。標準はこのデータを「気に」せず、適切と思われる形式で保存できます。たとえば、最初の 7 桁を保存すると、標準の要件 3 が適用されます (そして、暗号化におけるキー管理を十分に理解する必要があります)。
これが役に立つことを願っています。
2013 年 3 月 編集:
非常に適切なリソースは、PCI セキュリティ スタンダード カウンシルです。この組織は、2006 年に 5 つの世界最大のクレジット カード ブランド (AmEx、Visa、MasterCard、JCB International、および Discovery) によって設立され、セキュリティに関する事実上の権威です。 Payment Card Industry (PCI) の問題。
この組織は、特にPCI Data Security Standardを公開しています。現在、そのバージョン 2.0 版では、完全または部分的なクレジット カード番号の管理などの問題を扱っています。このドキュメントは自由に入手できますが、簡単な登録とライセンス条項の承認が必要です。
以下はオリジナルです。2009年の回答、ほとんど正しいが外典。
一般的な慣行 (合法かどうかはわかりません) は、最後の 4 桁を保存することです。これは、顧客が特定の取引にどのクレジット カードが使用されたかを確認するために使用される可能性があるためです。
悪意のある人物が完全な番号を推測する可能性を大幅に改善することなく、質問で述べたように、カードを発行した金融機関を表す 最初の 4 桁の s を保存できます。
これらの 8 桁よりも多くの桁数を保存しないでください。そうしないと、LUHN-10 チェックサムが与えられた場合、完全な数を推測するのに十分な情報を提供する可能性があります (それでも比較的難しい場合は、特定のによって使用されるシリーズからの洞察があっても)発行者、特定の期間内に、注意する必要があります...)
このすべてを技術的および法的に安全にするために、顧客が明示的に許可した場合にのみ、そのような情報を保存することを検討してください。また、データベースに格納するための単純なハッシュでこの情報をマスクすることも検討する必要があります。
また、特定のトランザクションの後に保存できる/保存する必要があるのは、トランザクションが送信された時点でクレジット カード プロセッサによって提供されるトランザクション IDです。この ID は、特定のトランザクションで問題が発生した場合でも、必要な情報のほとんど (すべて?) を見つけるためのキーです。このタイプの情報は、通常、処理会社が管理する安全な Web サイトから照会できます。また、保存を検討している場合は、カードの種類 (Amex、Visa など) ごとのグループ化を含む集計レポートも使用できます。最初の4つ。
クレジットカード番号全体を保存する必要がない場合、なぜそれを保存する必要があるのでしょうか? カードを発行した金融機関を節約したいなら、カードを発行した金融機関に預けてみませんか?
あなたの特定の質問は、PCI/DSSドキュメントのセクション3.3で回答されています。最初の6つと最後の4つは最大表示です。顧客(紙?)の領収書はより制限されています。正当な知識が必要な人は、完全なカードデータを見ることができます。
マーチャントプロバイダーに連絡して、利用できるオプションを確認することをお勧めします。最新のトランザクションゲートウェイの多くには「ボールト」機能があり、機密情報がプロバイダーに保存され、顧客に請求したりアカウント情報を確認したりするときに、トークン番号で顧客を参照するだけです。
同じように、トランザクション固有のトークンを使用して、プロバイダーシステムに保存されている必要なデータを参照できます。
ただし、PCIDSSを読んで理解することの重要性を十分に強調することはできません。安全なストレージをパントするだけでは、PCIコンプライアンス要件の対象となることを魔法のように妨げることはありません!! これは、システムが完全なカードデータに触れない場合にのみ可能です。
クレジット カード会社には、この基準があります。おそらく、支払い処理業者の利用規約のどこかに、この基準に従うことが埋もれていることに気付くでしょう。それはあなたの質問に答えます。ここで標準を見つけることができます
受け入れられたパターンは、それらをまったく保存しないことです。
特定の法域では、それらまたはその一部を保管することにより、法律に違反している可能性があります。
代わりに、クレジット カード番号の一方向 (したがって回復不可能な) ハッシュを保存することもできます。
ここカナダでは、最初の 4 桁 (金融機関を識別するため) と最後の 4 桁をクレジット カードを識別するための通常の方法で保存します。
ただし、法律に違反していないことを確認してください。