Хранение частичных номеров кредитных карт

Ответ 1

В стандарте безопасности данных платежных карт указано, что если вы обрабатываете данные держателей карт, тогда вы подпадаете под ограничения PCI DSS (что является очень всеобъемлющим и требует соблюдения). Если вы хотите сохранить часть номера карты и не хотите иметь дело со Стандартом, то вам нужно убедиться, что: a) вы храните НЕТ БОЛЬШЕ, чем первые 6 и последние 4 цифры; б) вы никогда не храните, не обрабатываете и не передаете больше, чем это. Это означает, что усечение должно выполняться до того, как данные попадут в ваш контроль.

Учитывая, что вы говорите о сайте электронной торговли, я думаю, вам придется иметь дело с PCI DSS рано или поздно (поскольку, если вы не используете полные PAN, вы не можете обрабатывать транзакции). В этом случае вам не следует хранить больше, чем первые 6 и последние 4 цифры PAN; Стандарт тогда не "заботится" об этих данных, и вы можете хранить его в любой форме, которая вам подходит. Если вы храните, скажем, первые 7 цифр, тогда требуется Требование 3 Стандарта (и вы начинаете действительно понимать управление ключами при шифровании).

Я надеюсь, что это будет полезно.

Ответ 2

Март 2013 г. Редактировать:
Очень важным ресурсом является Совет стандартов безопасности PCI, организация, основанная в 2006 году пятью крупнейшими глобальными кредитами Карточки (AmEx, Visa, MasterCard, JCB International и Discovery) и которая является фактическим органом по вопросам безопасности для индустрии платежных карт (PCI).
Эта организация публикует, в частности, Стандарт безопасности данных PCI, который в настоящее время находится в выпуске версии 2.0, который охватывает такие проблемы, как управление полными или частичными номерами кредитных карт. Этот документ, если он доступен свободно, но требует простой регистрации и подтверждения условий лицензии.

Ниже приводится оригинал, c. Ответ 2009 года, в основном правильный, но апокрифический.
Обычная практика (будь то законная или нет, я не знаю) - это хранить последние 4 цифры, так как это может помочь клиенту подтвердить, какая из его кредитных карт была использована для определенного сделка.

Без существенного улучшения шансов злонамеренного человека, угадывающего полное число, можно сохранить первые 4 цифры, которые являются репрезентативными для финансового учреждения, выдавшего карту, как указано в вопросе.

НЕ СОХРАНЯЙТЕ больше цифр, чем эти 8 цифр, потому что в противном случае, учитывая контрольная сумма LUHN-10, вы можете предоставить достаточно информации, чтобы угадать полный номер более правдоподобным (если все еще относительно сложно, даже с пониманием из серии, используемой данным эмитентом, за определенный период времени, но нужно быть осторожным...)

Чтобы сделать все это безопаснее, технически и юридически, вы можете рассматривать только сохранение такой информации, если клиент явно разрешает ее. Вы также должны рассмотреть возможность маскировки этой информации с помощью простого хеша для хранения в базе данных.

Кроме того, то, что вы можете/должны хранить после определенной транзакции, идентификатор транзакции, предоставленный процессором кредитных карт, в момент отправки транзакции. Этот идентификатор является ключом, который позволяет находить большинство (все?) Информации, которая вам даже понадобится, будет ли какая-либо проблема с конкретной транзакцией. Этот тип информации обычно может запрашиваться с защищенного веб-сайта, поддерживаемого компанией по обработке, а также с некоторыми сводными отчетами, которые могут включать группировку по типу карты (Amex, Visa...), если именно поэтому вы думаете о хранении первые четыре.

Ответ 3

Если вам не нужно хранить весь номер кредитной карты, зачем вам его вообще хранить? Если вы хотите сохранить финансовое учреждение, выпустившее карту, почему бы вам не сохранить финансовое учреждение, выдавшее карту?

Ответ 4

Принятый шаблон не хранит их вообще.

В некоторых юрисдикциях вы можете нарушать закон, сохраняя их или любую их часть.

Вместо этого вы можете сохранить хэш-код в одну сторону (и, следовательно, невосстанавливаемый) номера кредитной карты.

Ответ 5

У компаний с кредитными картами есть стандарт для этого. Вероятно, вы найдете его где-то в условиях обслуживания вашего платежного процессора, который вы будете соблюдать этот стандарт. Он отвечает на ваши вопросы. Вы можете найти стандартный здесь

Ответ 6

На ваш конкретный вопрос дан ответ в разделе 3.3 документа PCI/DSS. Первые шесть и последние четыре являются максимальными для отображения. Клиентские (бумажные?) Квитанции являются более ограничительными. Те, у кого законная потребность знать, могут видеть полные данные карты.

Моя рекомендация - связаться с вашим продавцом и посмотреть, какие варианты доступны для вас. Ряд современных шлюзов транзакций имеют функции "хранилища", где конфиденциальная информация хранится у поставщика, и вы просто ссылаетесь на клиентов по номеру токена, когда хотите их выставить или проверить информацию об учетной записи.

В одних и тех же линиях использование токенов транзакций может использоваться для ссылки на необходимые данные, хранящиеся в системе поставщиков.

Однако я не могу достаточно подчеркнуть важность чтения и понимания PCI DSS. Простое воспроизведение безопасного хранения не волнует вас от соблюдения требований PCI! Это возможно только в том случае, если ваша система никогда не касается полных данных карты.

Ответ 7

Здесь, в Канаде, обычный способ состоит в том, чтобы сохранить первые 4 цифры (для идентификации финансового учреждения) и 4 последних цифры для идентификации кредитной карты.

Но будьте уверены, что вы не нарушили никаких законов.