它允许在CDE之外存储8位数的垃圾箱吗？

Question

我能把8位数的垃圾箱和截断的(6/4)平底锅分别存储在CDE之外吗？

截短的平底盘不超过PAN的前6位和最后4位数，符合标准的3.4节，但它只写着：

截断的目的是永久删除PAN数据段，以便只存储PAN的一部分。

我不确定是否允许将前8位数字分开，为了其他目的，比方说，维护从BIN到银行名称的映射。

现行标准：https://www.pcisecuritystandards.org/documents/PCI_决策支持系统_v3-2-1.pdf

还有https://pcissc.secure.force.com/faq/articles/Frequently_问_Question/What-are-acceptable-formats-for-truncation-of-primary-account-numbers和https://pcissc.secure.force.com/faq/articles/Frequently_问_Question/Are-truncated-Primary-Account-Numbers-PAN-required-to-be-protected-in-accordance-with-PCI-DSS的一个注释，这是有意义的，但我在标准中没有发现任何类似的地方：

对同一PAN的不同截断格式的访问极大地提高了重构完整PAN的能力，并且单个截断PAN提供的安全值显著降低。如果使用多个截断格式(例如，在不同系统上使用不同的截断格式)截断同一个PAN，则应设置其他控件，以确保截断版本不能关联以重构原始PAN的其他数字。

我检查了相关的Q&As，其中没有提到8位数：

• 存储最后6位的支付卡与4位数字
• 存储信用卡号码最后4位数字的最低要求？
• 非信用卡支付来源是否需要符合PCI-DSS标准？
• 信用卡存储前六位数字PCI引用
• 在用户设备上存储卡片数据时的PCI遵从性要求
• 发送卡号和过期日期的前6位和最后4位是否需要符合PCI？

Answer 1

你已经找到了两个相关的常见问题。常见问题与标准具有同样的权威，它们扩大并澄清了标准，但由同样编写决策支持系统的工作组编写、审查和批准。有两个问题。

1. 正确截断的PAN是否需要保护所有DSS要求？答案是否定的- FAQ 1117。但是，正如@eckes正确指出的那样，您需要确保只包含截断盘的环境没有“连接”您的CDE。
2. 当你截断一个16位的平盘时，你能保留一个8位的BIN吗？答案是肯定的- FAQ 1091。你可以保留“前6，任何其他4”--所以可以是NNNN *NN
3. 您能否在相同的环境中保留两个截断的平底锅:前8个最后2个和前6个最后4个？答案是否定的，除非您希望该环境处于所有PCI DSS需求的范围内，因为基本上您存储的是前8最后4，这不满足截断要求。

Answer 2

根据PCI的要求3.4，PAN是CDE系统的定义实体，截断是正常的存储方式。

但是，即使你将它们存放在你定义为不属于CDE的地方，DSS仍然适用于它，因为它是一个相互关联的系统，DSS的规则无论如何都将适用于该系统和过程。

我不认为单是回收箱就有这个问题/要求，但是要非常小心，我永远不会从现有的平底锅中提取这些东西，而是从外部来源来维护它们。特别是如果你不确定如果它们是6或8位数字。(这样它可能不是一个连接的系统)。