遗留系统PCI法规

Question

我有一个收集和存储信用卡号码的遗留系统(糟糕！)我们正在分阶段取代这一制度。我们将集成一个信用卡处理系统，这要求我们是4级兼容。新的系统不会做坏的东西(存储信用卡信息)，但这两个系统将运行在我们的网络在同一时间。我是否能够为新系统实现PCI 4级，这样即使旧的遗留系统仍在运行，我们也可以进行集成吗？

Answer 1

阅读文档：https://www.pcisecuritystandards.org/documents/PA-DSS_v3.pdf

在第7页中，有一张表格概述了你可以存储和不能存储的内容。如果您的遗留系统只存储允许的数据，那么理论上您可以获得遵从性，但是对于您的网络和系统您将有一些非常严格的安全要求。

海事组织，做你自己的内部CC交易是不值得的，除非这是你的主要业务。

Answer 2

听起来你真的需要一个审计师把事情搞清楚。听起来，您的印象是，如果您不存储CC号码，那么PCI遵从性就很容易或简单。其实不是那样的。商家的级别不会改变PCI需求。这个级别只是改变了您获得审计或被要求让QSA执行审计的机会。

存储信用卡号码是不符合规定的，你只需要满足所有的要求(3.4IIRC节)。加密卡号(PAN -主帐号)实际上只是一个小的，虽然棘手(由于密钥管理)，部分符合PCI。所有其他要求仍然适用，即使你只拿着锅，并立即将它传递给一个顺从的第三方。如果PAN在纳秒内接触到您的RAM，那么该系统、它的软件、网络等都在PCI范围内。

如果您不符合PCI标准，那么在有限的时间内获得一些PAN存储的豁免应该不难与您的审计师进行安排。将数据库移动到另一台服务器，使用全磁盘加密，并由某人存储和输入密钥。在你切换到新系统的时候，这样的东西可能已经足够获得几个星期的豁免了。