Memorizzazione di numeri di carta di credito parziali
https://stackoverflow.com/questions/1485442
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Possibili duplicati:
- Le migliori pratiche per il prelievo e la conservazione di credito dati della carta con PHP
- dettagli Memorizzazione di carta di credito
- Memorizzazione della carta di credito Informazioni
ho bisogno di memorizzare i numeri di carta di credito all'interno di un sito di e-commerce. Non intendo sulla memorizzazione l'intero numero di carta di credito, in quanto ciò sarebbe altamente rischioso. Vorrei memorizzare almeno i primi cinque cifre in modo da poter in seguito individuare l'istituto finanziario che ha emesso la carta. Idealmente, vorrei memorizzare il maggior numero di numero di credito come posso tranquillamente, per aiutare ogni futuro riferimenti incrociati, ecc.
Quante cifre, e che le cifre particolari, posso archiviare in modo sicuro?
Per esempio, immagino che questo non sarebbe abbastanza sicuro:
5555 5555 555* 4444
Perché si potrebbe calcolare la cifra mancante.
Allo stesso modo, questo sarebbe al sicuro, ma non essere così utili:
5555 5*** **** ****
C'è un modello ben accettato per la memorizzazione dei numeri di credito parziali?
Soluzione
Il Payment Card Data Security Standard afferma che se si gestisce dati del titolare, allora siete soggetta ai vincoli del PCI DSS (che è molto completo e una sfida a rispettare). Se si desidera memorizzare parte di un numero di carta, e non vogliono avere a che fare con lo Standard, quindi è necessario fare in modo che a) si memorizza SUPERIORI le prime 6 e le ultime 4 cifre ; b) non si mai memorizzare, elaborare o trasmettere più di questo. Ciò significa che il troncamento deve essere effettuata prima che i dati entra nel vostro controllo.
Dato che si sta parlando di un sito di e-commerce, penso che avrete a che fare con il PCI DSS prima o poi (dato che se non stai prendendo PAN completo, non è possibile elaborare le transazioni). Realisticamente, allora, si dovrebbe evitare di memorizzare più dei primi 6 e ultime 4 cifre di una pentola; Standard poi non 'cura' su questi dati, ed è possibile memorizzare in qualsiasi forma si vede in forma. Se si memorizza, ad esempio, le prime 7 cifre, poi Requisito 3 dei calci standard in (e si iniziano ad avere a comprendere realmente la gestione delle chiavi di crittografia in).
Spero che questo sia di utilizzo.
Altri suggerimenti
Marzo 2013 Modifica :
Una risorsa molto pertinente è il PCI Security Standards Council , un'organizzazione fondata nel 2006 da cinque dei più grandi marchi di carta di credito globale (AMEX, Visa, MasterCard, JCB International e Discovery) e che è l'autorità de facto in materia di sicurezza per la Payment Card Industry (PCI).
Questa organizzazione pubblica, in particolare, il PCI Data Security standard , attualmente nella sua edizione versione 2.0, che copre questioni quali la gestione dei numeri completi o parziali di carte di credito. Questo documento, se liberamente disponibile, ma richiede una semplice registrazione e il riconoscimento di condizioni di licenza.
Quello che segue è l'originale, c. 2009 risposta, per lo più corretti ma apocrifo .
Una pratica comune (sia legale o no non lo so) è quello di memorizzare le ultime 4 cifre , in quanto ciò potrebbe essere usato per aiutare la conferma dei clienti che dei suoi / sue carte di credito sono stati utilizzati per un particolare transazione.
senza migliorare in modo significativo le probabilità di un utente malintenzionato di indovinare il numero completo, si può memorizzare le prime 4 cifre s che sono rappresentativi del l'istituto finanziario che ha emesso la carta, come indicato nella domanda.
NON, salvare molte più cifre di questi 8 cifre perché altrimenti, data la LUHN- 10 checksum , l'utente possa fornire abbastanza informazioni per fare indovinare il numero completo più plausibile (se ancora relativamente difficile, anche con una visione della serie utilizzata da un determinato emittente, in un dato periodo di tempo, ma uno deve fare attenzione ...)
Per rendere questa cosa più sicuro, tecnicamente e giuridicamente, si può considerare solo la memorizzazione di tali informazioni se il cliente consente esplicitamente . Si dovrebbe anche considerare mascherando queste informazioni con un semplice hash per memorizzare nel database .
Inoltre, ciò che si può / deve conservare a seguito di una determinata operazione, è l'ID della transazione fornito dal processore carta di credito, al momento della presentazione della transacton. Questo ID è la chiave che permette di individuare la maggior parte (tutte?) Delle informazioni che sarebbe nemmeno bisogno, ci sarebbe alcun problema con una particolare transazione. Questo tipo di informazioni in genere può essere interrogato da un sito web sicuro gestito dalla società di produzione, insieme ad alcuni rapporti aggregati che può includere un raggruppamento con carta-tipo (Amex, Visa ...), se è per questo che si sta pensando di memorizzare i primi quattro.
Se non è necessario per memorizzare l'intero numero di carta di credito, perché avete bisogno di memorizzare a tutti? Se si desidera salvare l'istituto finanziario che ha emesso la carta, perché non si memorizza l'istituto finanziario che ha emesso la carta?
Il modello accettato è non conservare loro a tutti.
In alcune giurisdizioni voi potrebbero infrangere la legge per la loro memorizzazione o una parte di essi.
Si potrebbe, invece, memorizzare un senso unico (e quindi irrecuperabile) hash del numero di carta di credito.
Le società di carte di credito hanno uno standard per questo. Probabilmente troverete sepolto da qualche parte nei termini di servizio del sistema di pagamento che vorrete ascoltare questo standard. E 'risposte alle domande. È possibile trovare il qui
La tua domanda specifica di soluzione sec 3.3 del documento PCI / DSS. Prima sei e le ultime quattro sono max per la visualizzazione. Clienti (carta?) Le entrate sono più restrittive. Quelli con un bisogno di sapere legitimiate possono vedere i dati completi della carta.
Il mio consiglio è di rivolgersi al proprio fornitore di commerciante e vedere quali sono le opzioni a vostra. Un certo numero di moderne gateway di transazione hanno caratteristiche "volta" in cui le informazioni sensibili viene stoccato presso il provider e semplicemente riferimento ai clienti con un numero di token quando si desidera fatturare loro o controllare le informazioni account.
Sulla stessa linea utilizzano operazioni token specifici possono essere usati per fare riferimento a dati necessari memorizzati sul sistema provider.
Tuttavia, non posso sottolineare abbastanza l'importanza della lettura e la comprensione PCI DSS. Basta andare in barca archiviazione sicura non magicamente si obsolve da essere soggetti a requisiti di conformità PCI !! Questo è possibile solo quando il sistema non tocca mai i dati completi della carta.
Qui in Canada, come di consueto è quello di memorizzare le prime 4 cifre (per identificare l'istituto finanziario) e l'ultima a 4 cifre per identificare la carta di credito.
Ma essere sicuri che non ha violato alcuna legge.
