Хранение частичных номеров кредитных карт
Я вообще только получаю свои собственные классы набора, если я должен "увеличить стоимость". Как, если сам набор должен был иметь некоторые метки свойств "метаданных" наряду с ним.
7 ответов
Стандарт безопасности данных платежных карт гласит, что если вы обрабатываете данные о держателях карт, то вы подпадаете под ограничения стандарта PCI DSS (который является всеобъемлющим, и его сложно соблюдать). Если вы хотите сохранить часть номера карты и не хотите иметь дело со стандартом, вам необходимо убедиться, что а) вы храните НЕТ БОЛЬШЕ, чем первые 6 и последние 4 цифры ; б) вы никогда не храните, не обрабатываете и не передаете больше, чем это. Это означает, что усечение должно быть выполнено до того, как данные попадут в ваш контроль.
Учитывая, что вы говорите о сайте электронной коммерции, я думаю, вам рано или поздно придется иметь дело с PCI DSS (поскольку, если вы ' Если не использовать полные PAN, вы не можете обрабатывать транзакции). Реально тогда вам следует избегать хранения более первых 6 и последних 4 цифр номера PAN; Стандарт тогда «не заботится» об этих данных, и вы можете хранить их в любой форме, которую сочтете нужной. Если вы сохраните, скажем, первые 7 цифр, тогда сработает Требование 3 Стандарта (и вы начнете действительно понимать управление ключами в шифровании).
Я надеюсь, что это пригодится.
Если вам не нужно хранить весь номер кредитной карты, зачем вам вообще хранить его? Если вы хотите сохранить финансовое учреждение, выпустившее карту, почему бы вам не сохранить финансовое учреждение, выпустившее карту?
Принятый шаблон - не сохранять их вообще.
В некоторых юрисдикциях вы можете нарушить закон, храня их или любую их часть.
Вместо этого вы можете сохранить односторонний (и, следовательно, невосстановимый) хэш номера кредитной карты.
У компаний, выпускающих кредитные карты, есть стандарты для этого. Вы, вероятно, найдете где-нибудь в условиях обслуживания вашего платежного процессора, что вы будете соблюдать этот стандарт. Он отвечает на ваши вопросы. Вы можете найти стандарт здесь
Ответ на ваш конкретный вопрос содержится в разделе 3.3 документа PCI / DSS. Первые шесть и последние четыре являются максимальными для отображения. Квитанции клиентов (бумажные?) Более строгие. Те, у кого есть законная потребность в информации, могут увидеть полные данные карты.
Я рекомендую обратиться к вашему поставщику услуг и узнать, какие варианты доступны вам. Некоторые современные шлюзы транзакций имеют функции «хранилища», в которых конфиденциальная информация хранится у провайдера, и вы просто ссылаетесь на клиентов по номеру токена, когда хотите выставить им счет или проверить информацию об учетной записи.
Аналогичным образом использование транзакции конкретные токены могут использоваться для ссылки на необходимые данные, хранящиеся в системе провайдеров.
Однако я не могу не подчеркнуть важность чтения и понимания PCI DSS. Простое использование безопасного хранилища волшебным образом не избавит вас от соблюдения требований PCI !!
Март 2013 г. Редактировать :
Очень актуальным ресурсом является Совет по стандартам безопасности PCI , организация, основанная в 2006 году пятью крупнейшими мировыми брендами кредитных карт (AmEx, Visa, MasterCard, JCB International и Discovery) и являющаяся де-факто органом по вопросам безопасности индустрии платежных карт (PCI).
Эта организация публикует, в частности, Стандарт безопасности данных PCI , который в настоящее время находится в редакции версии 2.0, которая охватывает такие вопросы, как управление полными или частичными номерами кредитных карт. Этот документ, если он находится в свободном доступе, требует простой регистрации и подтверждения условий лицензии.
Ниже приводится оригинал, c. Ответ 2009 г., в основном правильный, но апокрифический .
Распространенной практикой (законной или нет, я не знаю) является сохранение последних 4 цифр , так как это может быть использовано, чтобы помочь покупателю подтвердить, какая из его / ее кредитных карт использовалась для конкретной транзакции. .
Без значительного повышения вероятности того, что злоумышленник угадывает полное число, можно сохранить первые 4 цифры , которые представляют финансовое учреждение, выпустившее карту, как упоминалось в вопросе.
НЕ сохраняйте намного больше цифр, чем эти 8 цифр, потому что в противном случае, учитывая контрольную сумму LUHN-10 , вы можете предоставить достаточно информации, чтобы сделать предположение полного числа более правдоподобным (если все еще относительно сложно, даже с пониманием серии, использованной данным эмитентом в заданный период времени, но следует быть осторожным ...)
Чтобы все это было безопаснее, технически и юридически вы можете рассмотреть сохранение такой информации только в том случае, если заказчик явно разрешает это . Вам также следует рассмотреть возможность маскировки этой информации с помощью простого хэша для хранения в базе данных .
Кроме того, после конкретной транзакции вы можете / должны сохранить идентификатор транзакции . Обработчиком кредитной карты во время отправки транзакции. Этот идентификатор является ключом, который позволяет найти большую часть (всю?) Информации, которая может вам понадобиться, возникнет ли какая-либо проблема с конкретной транзакцией. Этот тип информации обычно можно запросить с защищенного веб-сайта, поддерживаемого процессинговой компанией, вместе с некоторыми сводными отчетами, которые могут включать группировку по типу карты (Amex, Visa ...), если именно поэтому вы думаете о хранении первые четыре.
вы можете рассмотреть только сохранение такой информации, если заказчик явно разрешает это . Вам также следует рассмотреть возможность маскировки этой информации с помощью простого хэша для хранения в базе данных .Кроме того, после конкретной транзакции вы можете / должны сохранить идентификатор транзакции . Обработчиком кредитной карты во время отправки транзакции. Этот идентификатор является ключом, который позволяет найти большую часть (всю?) Информации, которая может вам понадобиться, возникнет ли какая-либо проблема с конкретной транзакцией. Этот тип информации обычно можно запросить с защищенного веб-сайта, поддерживаемого процессинговой компанией, вместе с некоторыми сводными отчетами, которые могут включать группировку по типу карты (Amex, Visa ...), если именно поэтому вы думаете о хранении первые четыре.
вы можете рассмотреть только сохранение такой информации, если заказчик явно разрешает это . Вам также следует рассмотреть возможность маскировки этой информации с помощью простого хэша для хранения в базе данных .Кроме того, после конкретной транзакции вы можете / должны сохранить идентификатор транзакции . Обработчиком кредитной карты во время отправки транзакции. Этот идентификатор является ключом, который позволяет найти большую часть (всю?) Информации, которая вам может понадобиться, возникнет ли какая-либо проблема с конкретной транзакцией. Этот тип информации обычно можно запросить с защищенного веб-сайта, поддерживаемого процессинговой компанией, вместе с некоторыми сводными отчетами, которые могут включать группировку по типу карты (Amex, Visa ...), если именно поэтому вы думаете о хранении первые четыре.
Вам также следует рассмотреть возможность маскировки этой информации с помощью простого хэша для хранения в базе данных .Кроме того, после конкретной транзакции вы можете / должны сохранить идентификатор транзакции . Обработчиком кредитной карты во время отправки транзакции. Этот идентификатор является ключом, который позволяет найти большую часть (всю?) Информации, которая вам может понадобиться, возникнет ли какая-либо проблема с конкретной транзакцией. Этот тип информации обычно можно запросить с защищенного веб-сайта, поддерживаемого процессинговой компанией, вместе с некоторыми сводными отчетами, которые могут включать группировку по типу карты (Amex, Visa ...), если именно поэтому вы думаете о хранении первые четыре.
Вам также следует рассмотреть возможность маскировки этой информации с помощью простого хэша для хранения в базе данных .Кроме того, после конкретной транзакции вы можете / должны сохранить идентификатор транзакции . Обработчиком кредитной карты во время отправки транзакции. Этот идентификатор является ключом, который позволяет найти большую часть (всю?) Информации, которая вам может понадобиться, возникнет ли какая-либо проблема с конкретной транзакцией. Этот тип информации обычно можно запросить с защищенного веб-сайта, поддерживаемого процессинговой компанией, вместе с некоторыми сводными отчетами, которые могут включать группировку по типу карты (Amex, Visa ...), если именно поэтому вы думаете о хранении первые четыре.
это идентификатор транзакции , предоставленный процессором кредитных карт во время отправки транзакции. Этот идентификатор является ключом, который позволяет найти большую часть (всю?) Информации, которая вам может понадобиться, возникнет ли какая-либо проблема с конкретной транзакцией. Этот тип информации обычно можно запросить с защищенного веб-сайта, поддерживаемого процессинговой компанией, вместе с некоторыми сводными отчетами, которые могут включать группировку по типу карты (Amex, Visa ...), если именно поэтому вы думаете о хранении первые четыре. это идентификатор транзакции , предоставленный процессором кредитных карт во время отправки транзакции. Этот идентификатор является ключом, который позволяет найти большую часть (всю?) Информации, которая может вам понадобиться, возникнет ли какая-либо проблема с конкретной транзакцией. Этот тип информации обычно можно запросить с защищенного веб-сайта, поддерживаемого процессинговой компанией, вместе с некоторыми сводными отчетами, которые могут включать группировку по типу карты (Amex, Visa ...), если именно поэтому вы думаете о хранении первые четыре.Здесь, в Канаде, обычно хранятся первые 4 цифры (для идентификации финансового учреждения) и 4 последние цифры для идентификации кредитной карты.
Но убедитесь, что вы не нарушили никаких законов.