Fa il PCI richiedono per proteggere il credito Card Info nel registro delle transazioni?

Question

Il PCI Data Security Standard https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf vietare la memorizzazione di informazioni di carta di credito nel registro delle transazioni

3.2.1 Per un campione di componenti di sistema, esaminare fonti di dati, inclusi ma non limitati a quanto segue, e verificare che l'intero contenuto delle tracce della striscia magnetica sul retro della carta o dati equivalenti su un chip sono non memorizzato in nessun caso: Dati operazione in entrata

• Tutti i registri (ad esempio, operazione , la storia, il debug, errore)
• file di cronologia
• file di traccia
• Diversi schemi di database
• Contenuto di database

Qualcuno potrebbe con accesso in lettura al file di backup del registro o accedere essere in grado di leggere il numero CC? Non è in un testo chiaro. Ancora, è possibile decript esso? E 'abbastanza per limitare l'accesso dell'utente al log e file di log di backup?

Answer 1

Questo significa registri di testo, come ad esempio quelli provenienti da Log4net.
file non di database redo / undo / transazioni

Perché?

PCI dice che i numeri di carta di credito (PAN) devono essere inviati e memorizzati come crittografato nel database, il che significa che apparirà solo il valore crittografato in alcun di database del file di registro (se un log di errore o il attuale redo log file / undo / transazione). Vedere pagina 8 e punto 3.4 del documento per questo.

Modifica, dopo @ osservazione di Shark

• Il database non fa la crittografia / decrittografia: solo conservazione, assenza di elaborazione
• L'invio / ricezione di applicazione fa crittografia / decrittografia: solo il trattamento, nessun deposito