PCI/DSS:データの安静時

Question

いまの使用を考えるキャッシュ製品のカテゴリのデータます。

Answer 1

これは複雑な問題ですが、24時間以上保持されているものは、「ストレージ」とみなされ、カードデータの処理方法についての厳密な管理下にありません - 。例えばませCV2

しかし、あなたはまた、データは、トランザクションの後にカード取引に向かう途中ではなく、リターンパスになければなりません。

あなたはおそらく、あなたの具体的な例を議論し、する必要がまさにあなたのQSAと懸念しているどのカードデータのビットを使用する

Answer 2

はい。それはそれは、プロセスを保存するか、PCI-DSSの範囲内であるその後、ペイメントカードデータを送信した場合、製品は、何であるかは重要ではありません。

あなたのcacheingデバイスのみ格納するデータを暗号化および復号化のために使用される任意のキーへのアクセスを持っていないならば、あなたはそれがあなたの評価のためのスコープ外であることを、あなたのQSAに同意することができるはず、と述べた。

それは暗号化されていないペイメントカードデータを処理し、またはそれが復号鍵へのアクセス権を持っているならば、あなたはPCI-DSSの少なくともサブセットを実装する必要があります場合は、

cacheingデバイス用に制御します。

Answer 3

合意したことは複雑ですが、私の理解であり、カップルの校長はできないからでPCI-DSS:

1. カードホルダーにデータを暗号化して送信を開催する。そして、それがキャッシュのデータからのキャッシュするオープンなネットワーク利用頂け面までアドレスです。
2. 店舗のみで作られています。ばん必要なものの一部には、カードホルダーのデータを含むCV2,有効期限をあた店舗の場合でも、格納されるようになっていうんするデータです。

そのように私の場合はキャッシュ保存カードホルダーのデータそのもの穀物を標準装備。の意図との関係でデータストレージ(amoungstその他)に示すように、この保管、使用、送信だけが実際に必要な感度のデータです。せずに更に細かいキャッシュコンテンツ、と思うのはなぜ必要なキャッシュに敏感なデータです。

確かに同意Mr Cheekysoftがオープンであるべきについても議論することをおQSAいと思いますがその一啓発の詳細を提供することができる場です。