私がやっていることは、金融ソフトウェアを開発し、それを pci 準拠のサードパーティのクレジット カード会社に接続することです。当社はカナダの会社です。私たちは PCI に準拠しておらず、PCI に準拠する予定もありません。ただし、最前線のスタッフが識別できるように、PAN の下 4 桁を保存したいと考えています。
PAN、クライアント名、有効期限、PRN の下 4 桁のみを保存する場合、PCI 準拠である必要がありますか? 必要がある場合、PAN の下 4 桁のみを PRN と共に保存する場合はどうすればよいですか? PCI 準拠である必要はありますか?
PCI DSS のドキュメントを読みました。PANを保存する場合はPCIに準拠する必要があるとだけ言われましたが、最後の4桁だけを保存するかどうかは言われませんでした.
ありがとうございました。
PCI-DSS 適用の決定要因は、プライマリ アカウント番号 (カードの前面にある長い番号)を保存、処理、または送信するかどうかです。
番号の下 4 桁しかなく、他の方法で PAN の他の数字と接触しない場合は、PCI 要件を満たす必要はありません。
ただし、処理するだけであっても、完全なカード番号がどこかにある場合は、PCI の要件を満たす必要があります。
これは、PCI Web サイト ( https://www.pcisecuritystandards.org/ ) で入手できる PCI 標準 (バージョン 2.0) の 7 ページで確認できます。
会社がカード所有者名、有効期限、下 4 桁の番号を保存、処理、または送信している場合、PCI DSS 要件に準拠する必要はありません。ただし、カード所有者データを PAN 番号とともに保存、処理、または送信する場合は、PCI DSS 12 要件に準拠する必要がありますが、要件 3.1 は PAN 番号にのみ適用されるため適用されません。
あなたの会社がpay palやIndia payなどのサードパーティベンダーにトランザクションを提供する場合、PCI DSSは会社だけでなく支払いゲートウェイにも適用されます。カード所有者情報が会社のサーバーから支払いカードのサーバーに送信されるためです。
ユーザーが「任意の」アプリケーションで「任意の」クレジットカード関連データを入力する場合、そのアプリケーションで何をしているかに関係なく、PCI に準拠する必要があります。さらに、人気が高まっていることを考えると、PCIに準拠していることは常に有益です.
何らかの方法でクレジット カードを扱う米国のすべての Web サイトは、PCI に準拠する必要があります。コンプライアンスのレベルは、あなたが何をしているかによって異なります。PCI コンプライアンスは、クレジット カード番号の下 4 桁と有効期限の保存をカバーしています (実行できますが、推奨されません。実行する場合は、暗号化を推奨します)。
私が見つけた最良の答えは、Authorize.net の Web サイトにあります。
私がそれを読んだとき、彼らは基本的に抜け穴を悪用できると言っています. 技術的には、有効期限を保存することはできません。ただし、有効期限、つまり顧客にカードの更新を通知する日付に基づく情報を保存することはできます。