存储最后6位的支付卡与4位数字

Question

我想知道，与最后4位相比，存储一张支付卡最后6位数的风险是什么？此外，这会对PCI DSS的遵从性产生影响吗？

Answer 1

根据PCI DSS指南的3.4点，截断是

一般不超过前六位及最后四位数。

，但具体取决于重新生成完整的卡号是否可行--例如，使用同一卡号的散列作为测试，生成可能丢失的数字。存储第一位和最后六位将把19位数字的卡号减少到7位修改后的数字，如果还提供了散列，这对蛮力来说将是微不足道的。关于这种情况，有一个特别的说明：

注意:如果恶意用户能够同时访问截断版本和散列版本的PAN，那么重构原始PAN数据是一个相对微不足道的工作。如果实体的环境中存在相同PAN的散列和截断版本，则必须设置其他控件，以确保散列版本和截断版本不能关联以重建原始PAN。

此外，通过第3.3点：

前六位和最后四位是要显示的最大数字数。

为了得到具体系统的答案，您需要从QSA那里得到建议--允许您存储6位数字并不是不可能的，但最好不要这样做，只有QSA才能签署该决定。