PCIは、トランザクションログのクレジットカード情報を保護する必要がありますか?
-
22-10-2019 - |
質問
PCIデータセキュリティ標準 https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf トランザクションログにクレジットカード情報の保存を禁止します
3.2.1システムコンポーネントのサンプルの場合、以下を含むがこれらに限定されないデータソースを調べ、カードの背面にある磁気ストライプからのトラックの完全な内容またはチップの同等のデータが下に保存されていないことを確認します任意の状況:着信トランザクションデータ
- すべてのログ(たとえば、 取引, 、履歴、デバッグ、エラー)
- 履歴ファイル
- ファイルをトレースします
- いくつかのデータベーススキーマ
- データベースの内容
ログまたはログバックアップファイルへのアクセスを読み取った人は誰でもCC番号を読むことができますか?明確なテキストにはありません。それでも、それを減らすことは可能ですか?ログおよびログバックアップファイルへのユーザーアクセスを制限するには十分ですか?
解決
これは、log4netのようなテキストログなどを意味します。
いいえ データベースのredo/undo/トランザクションファイル
なんで?
PCIは、クレジットカード番号(PAN)はデータベースに暗号化されたように送信および保存する必要があると言います。 データベース ログファイル(エラーログまたは実際のREDO/UNDO/トランザクションログファイルのいずれか)。これについては、ドキュメントの8ページと項目3.4を参照してください。
@Sharkの観察の後に編集します
- データベースは暗号化/復号化を実行しません:ストレージのみ、処理なし
- 送信/受信アプリケーションは暗号化/復号化を行います:処理のみ、ストレージなし
所属していません dba.stackexchange