PCI/DSS:静态数据

Question

您会考虑在静态数据类别中使用缓存产品吗？

Answer 1

这是一个复杂的问题，但是任何超过24小时的东西都被认为是“存储”，并且在如何处理卡数据方面受到严格的控制-例如，没有CV2。

但是，数据必须在卡交易的途中，而不是在交易后的返回路径中。

您可能需要讨论您的特定示例，以及您关心的卡数据位在QSA中的具体用途

Answer 2

是。无论产品是什么，如果它存储、处理或传输支付卡数据，那么它就在PCI-DSS的范围内。

话虽如此，如果您的缓存设备只存储加密数据，并且无法访问用于解密的任何密钥，那么您应该能够同意您的QSA，即它超出了您的评估范围。

如果它确实处理未加密的支付卡数据，或者如果它可以访问解密密钥，那么您将必须至少为缓存设备实现PCI-DSS控制的一个子集。

Answer 3

同意这很复杂，但根据我的理解，在PCI-DSS中有几个原则可以借鉴：

1. 持卡人数据在通过开放网络传输时必须加密。因此，如果你有一个本地缓存，并且缓存中的数据要通过一个开放的网络传输，那就是你必须解决的问题。
2. 只存储你需要的内容。如果你不需要持卡人数据的某些部分，包括CV2，过期，那么不要存储它，即使它被存储在不能被认为是静态数据的地方。

在我看来，如果你的缓存是用来存储持卡人数据的，那就违背了标准。与数据存储(尤其是其他)相关的意图是将存储、使用、传输限制在敏感数据实际需要的地方。如果没有您提供的有关缓存内容的更多详细信息，我无法想象您为什么需要缓存敏感数据。

我当然同意Cheekysoft先生所说，你应该开放地与你的QSA讨论，因为我相信他/她一旦了解了细节，就可以为你提供一些指导。