存放的部分信用卡号码

Question

可能的重复:

1. 最佳做法和存储的信用卡信息与PHP
2. 存储的信用卡信息
3. 存储的信用卡信息

我需要存储的信用卡号码在电子商务网站。我不打算在储存的整体的信用卡号码，因为这将是非常危险的。我想储存至少在第一个五位数字所以我以后可以识别金融机构发布的卡片。理想情况下，我想储存尽可能多的信贷数作为我安全地可以帮助的任何未来的交叉引用等等。

怎么可能多的数字，这尤其是数字，可以安全地存储？

例如，我想这不会是安全的足够的：

5555 5555 555* 4444

因为你可以计算缺失的数字。

同样，这将是安全的，但是不能作为有用的：

5555 5*** **** ****

是否有一个可接受的模式，用于储存的部分信贷的数字？

Answer 1

支付卡数据安全标准的国家，如果你正在处理的持卡人数据，然后你是受约束的PCI DSS(这是非常全面和挑战，符合与)。如果你想的一部分来存储卡的数量，并且不想要处理的标准,然后你需要确保一)储存 没有超过第6和最后4位数字;b)你永远不要储存、处理或传送超过这个。这意味着截断有进行之前的数据输入您的控制。

鉴于你正在谈论电子商务网站，我想你会需要处理的PCI DSS或迟或早(因为如果你不采取全盘，你不能过程的交易)。实际上，然后，应当避免储存超过第6和最后的4位数的一个锅；标准然后不顾关于这种数据，并可以存在任何形式的您认为合适的。如果存储，也就是说，第7位数，然后要求3的标准踢(和你开始有真正理解的关键管理层加密的).

我希望，这是使用。

Answer 2

2013年编辑:
一个非常相关的资源是 PCI的安全标准委员会, 组织，成立于2006年，由五个最大的全球信用卡的品牌(美国运通、Visa、MasterCard、JCB国际和发现)和其事实上的当局就安全事项的支付卡行业(PCI)。
这一组织发布特别的 PCI的数据安全的标准, 目前正在其版本2.0版本涵盖的问题，例如管理的全部或部分的信用卡号码。这份文件如果免费提供的，但需要一个简单的登记和确认的许可证的条件。

以下是原始的，c。2009年的回答，主要是正确的，但是杜撰的.
一种常见的做法(无论是合法或不我不知道)是 储存的最后4位数字, ，因为这可能被用来帮助客户确认他/她的信用卡被用于一个特定的交易。

没有显着改善的几率有恶意的人猜测完整的数量，可以 储存的第4位数字s具有代表性的金融机构发布的卡片，中提到的问题。

不这样做，挽救更多的位于以下8位，因为否则，给予 卢恩-10校验, 你可以提供足够的信息来作出猜测完成数量更合理的(如果仍然相当艰苦，甚至有洞察系列中使用通过给予发行，在给定的时间段，但是一个应该小心...)

让这件事更安全、技术上和法律上，可以考虑 只有储存这类信息，如果客户明确允许它.你也应该考虑掩盖这个信息 一个简单的散列用于存储在数据库.

还有，你怎么可以/应该商店下面的某一特定交易， 交易ID 提供的信贷处理器卡，当时该transacton是提交。这个标识的关键是允许的定位数(？) 的信息，你会需要，会有任何问题与特定的交易。这种类型的信息通常可以查询的一个安全网站的维护，通过处理公司，以及一些综合报告，其中可以包括一个分组由卡型(美国运通、签证...)如果这就是为什么你想的储存的第四个。

Answer 3

如果你不需要储存的整体的信用卡号码，你为什么需要保存它吗？如果你想保存的金融机构发行的卡，你为什么不存储金融机构发布的卡片吗？

Answer 4

所接受的模式是不存在的。

在某些管辖区则可能是违法的通过将它们存放或任何一部分他们。

你可以相反，商店一种方式(并因此不可恢复)的散列的信用卡号码。

Answer 5

信用卡公司有一个标准这一点。你可能会发现它被埋在某处的服务条款的付款处理的，你将遵守这一标准。它回答了你的问题。你可以找到的标准 在这里，

Answer 6

你的具体问题的答案是在仲3.3PCI/DSS文件。第六和最后四个是最大的显示。客户(报纸了吗?) 收到更多的限制。那些legitimiate需要知道可以看到全卡的数据。

我的建议是联系您的商业提供商，看看有什么选择都可以给你。一些现代化事务网关拥有"库"有点敏感的信息被保存在供应商和你只需参考的客户号码时你想要的法案或检查账户的信息。

沿着相同的路线使用的交易的具体标记可用于参照所需要的数据保存在供应商系统。

但是我不能强调的重要性阅读和理解PCI DSS。简单地划船的安全储存不会神奇地obsolve你从受PCI符合要求!!这是唯一可能当你的系统永远不会触及全卡的数据。

Answer 7

在这里，在加拿大，通常的方法是储存的第4位数(以确定金融机构)和4的最后一位数字来识别信用卡。

但可以肯定，你不会破坏任何法律。