Le PCI exige de protéger la carte de crédit dans info le journal des transactions?

Question

Le PCI Data Security Standard https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf interdire le stockage d'informations de carte de crédit dans le journal des transactions

3.2.1 Pour un échantillon de composants du système, examiner les sources de données, y compris mais sans s'y limiter à ce qui suit, et vérifier que le contenu complet de toute piste de la bande magnétique au verso de la carte ou des données équivalentes sur une puce sont ne sont pas stockées en toute circonstance: Les données de transaction entrant

• Tous les journaux (par exemple, transaction , historique, débogage, erreur)
• fichiers Histoire
• Les fichiers de trace
• Plusieurs schémas de base de données
• le contenu de base de données

Quelqu'un pourrait avec un accès en lecture au fichier de sauvegarde grume ou être capable de lire le numéro de CC? Il est pas dans un texte clair. Toujours est-il possible de decript il? Est-ce suffisant pour restreindre l'accès des utilisateurs dans le journal et les fichiers journaux de sauvegarde?

Answer 1

Cela signifie les journaux de texte, tels que ceux de Log4net.
Non base de données redo / undo / fichiers de transaction

Pourquoi?

PCI indique que les numéros de carte de crédit (PAN) doivent être envoyées et stockées sous forme cryptée dans la base de données, ce qui signifie que la valeur chiffrée apparaît dans une base de données fichier journal (si un journal d'erreurs ou redo / undo / fichier journal des transactions réelles). Voir la page 8 et le point 3.4 de votre document pour cela.

Modifier, après @ observation de requin

• La base de données ne fait pas le chiffrement / déchiffrement: stockage, pas de traitement
• L'application d'envoi / réception ne cryptage / décryptage: seulement le traitement, pas de stockage