关于PCI-DSS兼容性-文件加密

Question

我们的应用程序需要通过FTP接口处理来自外部系统的带有信用卡信息(假设信用卡号)的文件。这是一个平面文件(文本)。我们需要基于某些业务规则来处理数据，然后需要通过FTP接口将其发送到另一个外部系统。同样，我们的应用程序需要保存入站文件和出站文件的副本。

因此，为了符合PCI的指导方针，使用GnuGP加密文件是否就足够了，还是需要单独加密数据元素(如CC号)，然后对文件进行加密？

谢谢和问候，桑

Answer 1

不幸的是，加密数据并没有将其从PCI范围中移除，而且对于降低PCI遵从性的要求也不起什么作用。如果您不是处理事务的人--也就是说，您不是有一个商人帐户的那个人--那么PCI遵从性不是您的问题，但在这种情况下，无论您的业务伙伴是谁(您从谁那里获得数据或将其发送给谁？)可能是不符合要求，因为您存储的卡号，因此属于他们的范围。