存储CVC / CVV / CVV2，直到付款处理完毕

Question

我需要存储交易的支付信息。

我们有一个脚本，读取哪些事务尚未发送到我们的ERP (业务管理软件)，然后发送它。这个脚本每隔几分钟运行一次。

根据PCI，我可以存储信息，如信用卡号码，持卡人姓名和到期日，但我不能存储CVV2。在脚本发送之前，我应该如何存储这些信息？

Answer 1

从技术上讲，根据PCI，您可以保存CVV和其他敏感身份验证数据，直到授权发生为止。换句话说，对存储敏感身份验证数据的限制适用于后身份验证/处理存储。这是一个来自PCI SSC的关于数据存储要求的文档。请参阅“PCI数据存储技术指南”表。该表脚注2指出：

不能在授权后存储敏感身份验证数据(即使加密)。

作为一名QSA，我的建议是，从业务角度来看，存储前的时间必须是合理的。我也希望它在技术上尽可能短。如果您的数据流与您所在行业的其他人相似，而且他们在处理支付时最多只存储几秒钟以上的敏感数据，那么我对您的期望也是如此。

Answer 2

你得和QSA谈谈。

你不能储存CVV。但是，附带存储可能会作为已批准的事务流的一部分发生，如果QSA发现了这一点，则可以接受。否则，就不可能在批处理事务中使用CVV。

Answer 3

你不可能做到这一点-你需要另找出路。

如果内存服务于PCI框架，则还声明不能将信用卡号码(或其他PAN)全部存储在明文中。您需要混淆显示在收据上的中间数字，所以您需要确保脚本也允许您这样做。