Fa il PCI richiedono per proteggere il credito Card Info nel registro delle transazioni?
-
22-10-2019 - |
Domanda
Il PCI Data Security Standard https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf vietare la memorizzazione di informazioni di carta di credito nel registro delle transazioni
3.2.1 Per un campione di componenti di sistema, esaminare fonti di dati, inclusi ma non limitati a quanto segue, e verificare che l'intero contenuto delle tracce della striscia magnetica sul retro della carta o dati equivalenti su un chip sono non memorizzato in nessun caso: Dati operazione in entrata ??p>
- Tutti i registri (ad esempio, operazione , la storia, il debug, errore)
- file di cronologia
- file di traccia
- Diversi schemi di database
- Contenuto di database
Qualcuno potrebbe con accesso in lettura al file di backup del registro o accedere essere in grado di leggere il numero CC? Non è in un testo chiaro. Ancora, è possibile decript esso? E 'abbastanza per limitare l'accesso dell'utente al log e file di log di backup?
Soluzione
Questo significa registri di testo, come ad esempio quelli provenienti da Log4net.
file non di database redo / undo / transazioni
Perché?
PCI dice che i numeri di carta di credito (PAN) devono essere inviati e memorizzati come crittografato nel database, il che significa che apparirà solo il valore crittografato in alcun di database del file di registro (se un log di errore o il attuale redo log file / undo / transazione). Vedere pagina 8 e punto 3.4 del documento per questo.
Modifica, dopo @ osservazione di Shark
- Il database non fa la crittografia / decrittografia: solo conservazione, assenza di elaborazione
- L'invio / ricezione di applicazione fa crittografia / decrittografia: solo il trattamento, nessun deposito