PCI卡号定义

Question

我们正在使用截断策略来消除卡号。为了进行开发，我需要原始的预截断数据文件.测试环境不允许有活期卡号。我写了一个程序基本上混淆了卡号。协议是，偶尔数字将验证为卡号。我在处理成千上万的文件和数以百万计的信用卡号码。

例如：

卡号37111234569999

混淆为: 37110000009999

所以我们知道37111234569999是一个活跃的，目前在我们的系统中使用的卡号。37110000009999将不是一个活动的，目前使用的卡号，但它可以验证为一体。

我的问题是37110000009999会不会被认为是卡数据？如果它被认为是卡片数据，那么我们应该如何测试拥有大量数据的系统呢？

我已经看了pci网站，并没有找到一个具体的定义。

Answer 1

(回答经过大量编辑。原文于“历史编辑”)

PCI-DSS对PAN的截断提供了这种指导：

截断的目的是永久删除PAN数据段，以便只存储PAN的一部分(一般不超过前六位和最后四位数字)。

所以你的例子

Card Number 37111234569999
Obfuscated to: 37110000009999

可能真的很合身。但是，您还需要小心处理这份说明，并确保您可以证明这一点，让审计师满意：

注意:如果恶意用户能够同时访问截断版本和散列版本的PAN，那么重构原始PAN数据是一个相对微不足道的工作。如果实体的环境中存在相同PAN的散列和截断版本，则必须设置其他控件，以确保散列版本和截断版本不能关联以重建原始PAN。

我不是PCI审计师。你说你有数以百万计的活卡数据流入你的测试环境，你正试图在途中对它们进行消毒。这几乎是错误的，在测试环境中只有一个代码错误或漏掉了边缘数据。

正如@Ghedi朋k在评论中所说的那样，如果我是你们的法律与合规团队，我不会接受来自某个随机网站的一些随机意见，因为他们在这里是权威的；你真的应该雇佣一个经过认证的PCI审计师来获得这方面的正式裁决。

Answer 2

这就是说，取决于您的数据需要多接近模拟生产，有两个选项不涉及从生产中带回任何东西(以及所有导致的遵从性问题)。

测试卡

有一些标准测试卡号码，这些品牌已经表示永远不会发布-- 此链接有一些测试卡的列表，但也有其他的。假设重复的值不会导致文件出现问题，那么就用随机选择的测试卡生成它。它们可能看起来像PCI数据，但它们是安全的。

随机生成的PANs

如果您真的需要唯一性，那么您的下一个最佳选择就是随机生成PAN。你想出的数字实际上是一个真实的卡号，这是相当不错的，因为任何一个前缀正确的16位数字都可能是正确的，但由于它实际上不是基于真实的卡，所以审计人员不会给你太大的麻烦。只需做好准备，展示您用来生成它们的过程。只是想说清楚这是无效的。

从表面上看，这与你所建议的方法是一样的。但是，由于这些数字是从帽子中提取出来的，而不是从生产中擦掉的，1)您将不知道任何给定的卡是否实际有效；2)即使它恰好是，您也不会有与该卡相关的过期日期。

如果其他一切都失败了.

如果出于某种原因，这两种方法都不是可行的，而且你一定已经清理了生产数据，那么你需要和你的法律部门和审计师坐下来，解释一下情况，看看他们能接受什么。您的方法可能对它们足够好，但正如另一个答案所述，很容易遗漏一行代码而无法正确掩蔽。

Answer 3

我认为PCI SSC FAQ 1091是你的朋友。

https://pcissc.secure.force.com/faq/articles/Frequently_问_Question/What-are-acceptable-formats-for-truncation-of-primary-account-numbers

您需要能够向评估人员显示'0‘是您的截断字符(而不是*)，是的，您可以随机地拥有一个通过luhn检查的截短的PAN，但它不是您在事务中收到的实际卡。但是，您应该很好地将截断数据从CDE导出到基于此FAQ的可接受截断格式的测试环境中。您需要证明CDE (发生截断的地方)与测试环境之间的隔离。