PCI DSS和Memcached

Question

如果我储存持卡人的详细资料(平底锅，过期等)在Memcached数据桶中，这在PCI遵从性方面是值得担心的吗？

我们的数据库在一个数据中心并且是加密的。我们的web服务器也在这个数据中心。如果我将持卡人的详细信息缓存在运行在与web服务器相同的框上的Memcached服务器节点上，或者在与web服务器相同的子网上的另一台计算机上，是否需要混淆或加密这些缓存的数据？

我最初的想法是“不”，因为我们没有坚持数据；这都是临时存储。

编辑:我们目前的架构是符合PCI的；几个月前我们被认为是兼容的。现在是保持这种状态的问题了。

Answer 1

它足够持久，可以被检索。没有理由不加密任何可识别的个人数据。如果你可以在没有密钥的情况下访问它，入侵者也可以。

确保它的安全，它就会符合要求。以后不要试图通过添加安全性来使其兼容。

顺从(通过你的中华民国)并不意味着诚实。从事这一活动的公司的技能各不相同，通常是根据主题公司获得及格的可能性来选择的。这不是你如何保护你的公司品牌。

如果你想要更高级别的弹药，那么马萨诸塞州的隐私法呢？您是如何遵守您的数据要求的？那么欧盟http://en.wikipedia.org/wiki/Data_保护_指令和第三方转让条款呢？

无论何时加密PII/PAN数据，设置适当的密钥管理，并使用经过验证的密码系统进行加密。聪明地保护你的客户数据和你的公司的品牌形象，你将遵从。

Answer 2

有关的PCI-DSS部分说：

3.4 Render PAN unreadable anywhere it is stored (including on portable digital media, backup media, and in logs) by using any of the following approaches:
* One-way hashes based on strong cryptography (hash must be of the entire PAN)
* Truncation (hashing cannot be used to replace the truncated segment of PAN)
* Index tokens and pads (pads must be securely stored)
* Strong cryptography with associated key-management processes and procedures

https://www.pcisecuritystandards.org/documents/pci_决策支持系统_v2.pdf

存储部分的位置似乎非常清楚--在基于RAM的数据库中存储未加密的PAN数据也不例外。

您说您的体系结构被认为是兼容的-如果您有一个QSA评估您的环境，这将是一个很好的问题问他。