¿El PCI requiere proteger la información de la tarjeta de crédito en el registro de transacciones?

Question

El estándar de seguridad de datos PCI PCI https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf Prohibir el almacenamiento de la información de la tarjeta de crédito en el registro de transacciones

3.2.1 Para una muestra de componentes del sistema, examine las fuentes de datos, incluidas, entre otros, lo siguiente, y verifique que los contenidos completos de cualquier pista de la franja magnética en la parte posterior de la tarjeta o datos equivalentes en un chip no se almacenen en Cualquier circunstancia: datos de transacciones entrantes

• Todos los registros (por ejemplo, transacción, historia, depuración, error)
• Archivos de historia
• Trazar archivos
• Varios esquemas de bases de datos
• Contenido de la base de datos

¿Podría alguien con acceso de lectura al archivo de seguridad de registro o registro de copias de seguridad de poder leer el número CC? No está en un texto claro. Aún así, ¿es posible disminuirlo? ¿Es suficiente restringir el acceso de los usuarios al registro y registrar archivos de copia de seguridad?

Answer 1

Esto significa registros de texto, como los de log4net.
No archivos de rehacer/deshacer/transacción de la base de datos

¿Por qué?

PCI dice que los números de tarjeta de crédito (PAN) deben enviarse y almacenarse como encriptados en la base de datos, lo que significa que solo el valor encriptado aparecerá en cualquier base de datos Archivo de registro (ya sea un registro de errores o el archivo de registro real de rehacer/deshacer/transacción). Consulte la página 8 y el elemento 3.4 de su documento para esto.

Editar, después de la observación de @Shark

• La base de datos no hace cifrado/descifrado: solo almacenamiento, sin procesamiento
• La aplicación de envío/recepción tiene cifrado/descifrado: solo procesamiento, sin almacenamiento