Almacenamiento de números de tarjetas de crédito parciales
https://stackoverflow.com/questions/1485442
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Posibles duplicados:
- mejores prácticas para la recogida y almacenamiento de crédito información de la tarjeta con PHP
- detalles Almacenamiento de tarjetas de crédito
- de almacenamiento de crédito información de tarjeta
necesito para almacenar números de tarjetas de crédito dentro de un sitio de comercio electrónico. No tengo la intención de almacenar todo el número de tarjeta de crédito, ya que esto sería muy arriesgado. Me gustaría para almacenar al menos los primeros cinco dígitos para que pueda identificar posteriormente la institución financiera que emitió la tarjeta. Idealmente, me gustaría almacenar la mayor cantidad de la cantidad de crédito que yo pueda con seguridad, para ayudar a cualquier futura referencias cruzadas, etc.
¿Cuántos dígitos y que los dígitos particulares, puedo almacenar de manera segura?
Por ejemplo, me imagino que esto no sería lo suficientemente seguro:
5555 5555 555* 4444
Debido a que usted podría calcular el dígito que falta.
Del mismo modo, este sería seguro, pero no ser tan útil:
5555 5*** **** ****
¿Hay un patrón bien aceptado para almacenar números parciales de crédito?
Solución
La Tarjeta de Pago Estándar de Seguridad de Datos establece que si usted está manejando los datos de titulares de tarjetas, a continuación, usted está sujeto a las limitaciones de la norma PCI DSS (que es muy amplio y un reto a cumplir). Si desea almacenar parte de un número de tarjeta, y no quieren tener que lidiar con el estándar, entonces usted necesita para asegurarse de que: a) se almacenan no más que los 6 y los últimos 4 primeros dígitos ; b) que no siempre almacenar, procesar o transmitir más que esto. Eso significa que el truncamiento tiene que llevarse a cabo antes de los datos entra en su control.
Teniendo en cuenta que estamos hablando de un sitio de comercio electrónico, creo que tendrá que hacer frente a la PCI DSS, tarde o temprano (ya que si usted no está tomando PAN completo, no se puede procesar transacciones). Siendo realistas, a continuación, se debe evitar el almacenamiento de más de 6 y los últimos 4 primeros dígitos de un PAN; la Norma entonces no lo hace 'atención' sobre estos datos, y se puede almacenar en cualquier forma le parezca. Si almacena, por ejemplo, los 7 primeros dígitos, entonces Requisito 3 de las patadas estándar en (y que empiezan a tener para comprender realmente la gestión de claves de cifrado en).
Espero que esto es de uso.
Otros consejos
Marzo 2013 Editar :
Un recurso muy pertinente es la Consejo de Seguridad PCI Normas , una organización fundada en 2006 por cinco de las más grandes marcas de tarjetas de crédito mundial (Amex, Visa, MasterCard, JCB International y Discovery) y que es la autoridad de facto en materia de seguridad para la Industria de Tarjetas de Pago (PCI).
Esta organización publica en particular, la Seguridad de Datos PCI estándar , actualmente en su edición la versión 2.0, que cubre temas tales como la gestión de los números completos o parciales de tarjetas de crédito. Este documento si libremente disponible, pero requiere de un simple registro y reconocimiento de términos de la licencia.
El siguiente es el original, c. 2009 respuesta, sobre todo correcto, pero apócrifa .
Una práctica común (ya sea legal o no, no lo sé) es almacenar los últimos 4 dígitos , ya que esto puede ser utilizado para ayudar a la confirmación al cliente cuál de sus / sus tarjetas de crédito se utiliza para una determinada transacción.
Si no se mejora significativamente las probabilidades de una persona con malas intenciones adivinar el número completo, se puede guardar los primeros 4 dígitos s que son representativos de la institución financiera que emitió la tarjeta, como se mencionó en la pregunta.
No, salvar muchas más dígitos de los que estos 8 dígitos porque de lo contrario, dada la LUHN- 10 suma de control , puede proporcionar suficiente información para hacer adivinar el número completo más plausible (si todavía está relativamente duro, incluso con una visión de la serie utilizada por un emisor determinado, en un período de tiempo dado, pero uno debe tener cuidado ...)
Para hacer todo esto más seguro, técnica y legalmente, puede considerar en Sólo almacenamiento de tal información si el cliente permite explícitamente . También debe considerar enmascarar esta información con un simple hash para almacenar en la base de datos .
Además, lo que puede / debe almacenar después de una transacción en particular, es el ID de transacción suministrada por el procesador de la tarjeta de crédito, en el momento de presentación de la transación. Este ID es la clave que permite localizar la mayoría (todos?) De la información que usted necesita, incluso, habría algún problema con una transacción en particular. Este tipo de información normalmente se puede consultar desde un sitio web seguro mantenida por la compañía de procesamiento, junto con algunos informes agregados que puede incluir una agrupación de cartas tipo (Amex, Visa ...) si es por eso que está pensando en el almacenamiento la primera cuatro.
Si no es necesario almacenar todo el número de tarjeta de crédito, ¿por qué necesita para almacenar en absoluto? Si desea guardar la institución financiera que emitió la tarjeta, ¿por qué no almacenar la institución financiera que emitió la tarjeta?
El patrón es aceptado no los almacene en absoluto.
En ciertas jurisdicciones que podría estar infringiendo la ley mediante el almacenamiento o cualquier parte de ellos.
Se podría en cambio, almacenar una sola vía (y por lo tanto no recuperable) hash del número de tarjeta de crédito.
La empresa de tarjetas de crédito tienen un estándar para esto. Es probable que encuentres lo enterrado en algún lugar de los términos de servicio de su procesador de pago que va a obedecer esta norma. Responde a preguntas. Puede encontrar el aquí
Su pregunta específica de respuesta seg 3.3 del documento / PCI DSS. Primeros seis y los cuatro últimos son máximo para su visualización. Cliente (papel?) Recibos son más restrictivas. Los que tienen una necesidad legitimiate saber puede ver los datos de tarjetas de pleno derecho.
Mi recomendación es ponerse en contacto con su proveedor de comerciante y ver lo que están a su disposición opciones. Un número de las pasarelas de transacción modernos tienen características "bóveda", donde la información sensible se almacena en el proveedor de referencia y simplemente los clientes por un número simbólico cuando se desea facturar a ellos o verificar la información de la cuenta.
A lo largo de las mismas líneas uso de transacción tokens específicos pueden utilizarse para hacer referencia a datos necesarios almacenados en el sistema de los proveedores.
Sin embargo no puedo hacer suficiente hincapié en la importancia de la lectura y la comprensión de las PCI DSS. Simplemente batea almacenamiento seguro no mágicamente obsolve de ser sujeto a los requisitos de cumplimiento de PCI !! Esto sólo es posible cuando el sistema nunca toca los datos de tarjetas de pleno derecho.
Aquí en Canadá, la forma habitual es almacenar los primeros 4 dígitos (para identificar la entidad financiera) y el último dígito 4 para identificar la tarjeta de crédito.
Sin embargo, asegúrese de que no violó ninguna ley.
