我正在做的是开发财务软件并将其连接到符合pci标准的第三方信用卡公司。我们公司是一家加拿大公司。我们不符合pci,也不打算兼容pci。但我们希望保存PAN的最后4位数字,以帮助前线员工识别。
如果我只保存PAN的最后4位数,客户名称,有效期和PRN,我是否必须符合PCI标准? 如果必须的话,如果我只用PRN保存PAN的最后4位数,那么我必须是PCI兼容的吗?
我阅读了PCI DSS文档。它只说我必须是pci兼容如果我保存PAN,但没有说我是否只保存最后4位数。
谢谢。
答案 0 :(得分:5)
PCI-DSS适用性的决定因素是您存储,处理或传输主要帐号(长号码)卡的正面)。
如果您只拥有该号码的最后四位数字,并且不以任何其他方式接触PAN的任何其他数字,那么您不需要满足PCI要求。
但是如果您在任何地方都有完整的卡号,即使它只是处理它,那么您将需要满足PCI的要求。
您可以在PCI网站上提供的PCI标准(版本2.0)的第7页上查看:https://www.pcisecuritystandards.org/
答案 1 :(得分:4)
如果贵公司存储,处理或传输持卡人姓名,有效期,最后4位数,则无需遵守PCI DSS要求。 但是,如果存储,处理或传输持卡人数据以及PAN号码,您必须符合PCI DSS 12要求,而要求3.1则不适用,因为它仅适用于PAN号码。
如果贵公司向第三方供应商提供交易,如支付方和印度支付等.PCI DSS适用于支付网关以及公司。因为持卡人信息从公司服务器传输到支付卡服务器。
答案 2 :(得分:1)
如果用户在“任何”应用程序上输入“任何”信用卡相关数据,则无论您使用它是什么,都必须符合pci标准。此外,随着人们日益普及,与pci兼容总是有益的。
答案 3 :(得分:0)
美国以某种方式处理信用卡的每个网站都必须符合PCI标准。合规程度将根据您的具体情况而有所不同。 PCI合规性确实包括存储信用卡号码的最后四位数字和到期日期(您可以这样做,但他们不推荐它,如果您这样做,他们建议加密它)。
答案 4 :(得分:0)
我能找到的最佳答案是在Authorize.net的网站上:
当我读到它时,他们基本上说你可以利用漏洞。 技术上您无法存储到期日期。但是,您可以存储基于到期日期的信息,即您希望提醒客户更新其卡的日期。