Creditcard存储前六位数字PCI引用

Question

我需要储存前六位数和最后四位数字的蒙面盘，以及卡到期月份和年份。按照PCI规则做这件事安全吗？

关于四位数，以前曾在下面的文章中讨论过。

存储最后四位数的最低要求

它提到存储前六位数和后四位数符合PCI的要求。是否有带有此信息的官方PCI文档？

我提到了pci_决策支持系统_v2和pci_文件系统_数据_存储，但没有找到答案。

3.3当显示蒙版时(前六位和最后四位是要显示的最大数字数)。

大多数人所指的规则是3.3项要求。但这只适用于我显示的潘，但它没有提到任何关于存储前6+掩码+最后4位数字。感谢你的帮助..。

Answer 1

考虑到你的问题表明你已经在处理持卡人的数据，无论是通过转移盘还是存储(部分)盘，你都属于SAQ-D的范畴。因此，这意味着您应该已经在接受PCI审计(前提是您每年有超过30万次事务)，所以最好是与您的QSA检查，看看他们说了什么。

Answer 2

前6个数字不是非常敏感的信息。它们包括IIN或颁发者识别号(https://en.wikipedia.org/wiki/Bank_卡片_数)。最后四个数字也不被认为是敏感信息。实际上，前六位和最后四位是允许显示的最大位数(请参阅PCIDS3.3 https://www.pcisecuritystandards.org/documents/pci_决策支持系统_v2.pdf，所有其他PCI引用来自本文档)。

然而，EXP Date + PAN被认为是敏感信息。本文档的第2页很好地解释了存储过程(https://www.pcisecuritystandards.org/pdfs/pci_文件系统_数据_storage.pdf)。

此外，3.4适用于这种情况。您已经通过截断使数字不可用(尽管Luhn校验和允许对数字进行猜测)。但是，您必须保护EXP日期，建议不要将截断的PAN存储在计划文本中，而是以单向散列或加密的方式进行堆栈保护(注意，这似乎不是必需的)。

Answer 3

我把你的意思混淆了不同的要求，有了一定的混淆。

要求3.3“显示时的蒙面盘(前六位和最后四位是要显示的最大数字数)。说的是显示而不是存储！如果你遮住平底锅，它就为这个要求提供了一个解决方案。

Requirements3.43.4使PAN在存储的任何地方都不可读.“讨论存储而不是显示!

你写的“我需要储存蒙面锅”蒙面是与要求3.3相关的。为了满足这一要求，存储与需求3.4相关，您可以使用单向散列/截断/加密/令牌