PCI/DSS：安心時のデータ

Question

安心してデータカテゴリに製品をキャッシュすることを検討しますか？

Answer 1

これは複雑な問題ですが、24時間以上保持されているものは「ストレージ」とみなされ、カードデータの処理方法については厳格な管理下にあります。たとえばCV2はありません。

また、データはカード取引の途中にある必要があり、取引後の戻りパスではないことが必要です。

あなたはおそらく、あなたの具体的な例を議論する必要があり、あなたがあなたのQSA

Answer 2

が、これは複雑で合意が、私の理解に基づいて、プリンシパルのカップルがあると懸念している正確に何を使用したカードデータのビット

1. カード所有者のデータは、オープンネットワーク経由で送信する際に暗号化する必要があります。したがって、ローカルキャッシュがあり、キャッシュからのデータがオープンネットワークを介して送信される場合は、アドレスする必要がある領域です。
2. 必要なものだけを保管してください。あなたがCV2を含むカードホルダーデータのいくつかの部分を必要としないなら、期限が切れていないものとみなされるものに格納されていてもそれを保管しないでください。

あなたのキャッシュがカードホルダーのデータを格納しているとすれば、それは標準の穀粒に対するものです。データ保存に関する意図（他のものの中でも）は、保存、使用、送信を機密データに対して実際に必要な場所に限定することです。あなたのキャッシュコンテンツに関する詳細な説明がなければ、機密データをキャッシュする必要があるのは想像もつきません。

私は確かに彼/彼女はかつての詳細に啓発されたいくつかのガイダンスを提供することができるように開いて、あなたのQSAと議論する必要があるというCheekysoft氏に同意します。

Answer 3

はい。製品が何であるかは関係ありません。支払いカードのデータを保管、処理、または送信する場合は、PCI DSSの範囲内です。

あなたのキャッシュデバイスが暗号化されたデータのみを保存し、復号化に使用する鍵にアクセスできない場合は、評価の対象外であることをQSAに同意する必要があります。

暗号化されていない支払いカードデータを処理する場合、または暗号化キーにアクセスできる場合は、少なくともキャッシュデバイス用のPCI-DSSコントロールのサブセットを実装する必要があります。