私がやっていることは、金融ソフトウェアを開発し、それをpciに準拠した第三者のクレジットカード会社に接続することです。当社はカナダの会社です。私たちはpciに準拠しておらず、pciに準拠する予定もありません。しかし、私たちは、フロントラインのスタッフの識別を助けるために、PANの最後の4桁を節約したいと考えています。PCI DSS準拠でなければならないのですか?
PAN、クライアント名、有効期限、PRNの最後の4桁のみを保存する場合は、PCI準拠にする必要がありますか? 私は、PRNのPANの最後の4桁のみを保存するとどうなりますか?PCI対応でなければなりませんか?
私はPCI DSSのドキュメントを読んでいます。私はPANを保存すると、私はPCI準拠する必要がありますが、私は最後の4桁だけを保存する場合は言っていないと述べた。
ありがとうございます。
クレジットカードを扱う米国のすべてのウェブサイトは、PCI対応でなければなりません。コンプライアンスのレベルは、あなたがやっていることによって決まります。 PCIコンプライアンスでは、クレジットカード番号と有効期限の最後の4桁を格納することになります(あなたはそれを行うことはできますが、推奨しません。
PCI-DSSの適用性の決定要因は、かどうか、あなた店、プロセスまたは送信プライマリアカウント番号(カードの前面に長い数)です。
番号の最後の4桁が他の方法でPANの他の桁と接触しない場合は、PCI要件を満たす必要はありません。
どこでもフルカード番号があれば、それを処理するだけであっても、PCIの要件を満たす必要があります。
あなたはPCIウェブサイトで利用可能なPCI規格(バージョン2.0)の7ページでこれをチェックアウトすることができます。ユーザーは、あなたが「任意の」アプリケーションの上の「任意の」クレジットカード関連のデータを入力した場合https://www.pcisecuritystandards.org/
あなたがそれをやっていることに関係なく、pciに準拠している必要があります。それに加え、pciに準拠させることは、その人気が高まるにつれて常に有益です。
貴社がカード所有者名、有効期限、最後の4桁の数字を保存、処理、または伝送している場合は、PCI DSS要件に準拠する必要はありません。 カード所有者のデータをPAN番号と一緒に保管、処理、または送信する場合は、PCI DSS 12要件に準拠する必要がありますが、要件3.1以外はPAN番号にのみ適用されるため適用されません。
貴社がpay palやIndia payなどの第三者ベンダーに取引を行う場合、PCI DSSは決済ゲートウェイと会社に適用されます。カード所有者情報は会社のサーバーから支払いカードサーバーに送信されるためです。
うわー、4つのアップノート。ガジェットレビューキューに行こう! http://stackoverflow.com/review/first-posts/1145329#./1145329?&_suid=135489302348408670943400354756 – LittleBobbyTables
私は見つけることができる最良の答えは、Authorize.netのウェブサイトにある:
私はそれを読むと、彼らは基本的にあなたが抜け穴を利用することができますと言っています。 技術的にはは有効期限を保存できません。ただし、有効期限を基準にした情報、つまり顧客にカードの更新を知らせる日付を保存することができます。
たとえば、処理、承認などのためにshift4のような誰かを使用しているとします。 PCI要件はゼロです。基本的に、カードホルダーデータ(CHD)、およびプライマリアカウント番号(PAN)はPCI-DSSを心配する必要がないことを意味します。 shift4のような会社は、PANやCHDを保存していないので、すべてのPCI-DSSがShift4にあるか、あるいはあなたが使用しているものであるため、支払いや認可/検証要求のトークンと認証コードを返します。さらに、shift4のような企業はデータをアーカイブし、報告や紛争の調整などの機能を提供します。100,000.00ファースト第1回PCI犯罪... – user1011144