PCI/DSS : 휴식중인 데이터

Question

휴식시 데이터 범주에서 캐싱 제품의 사용을 고려 하시겠습니까?

Answer 1

이것은 복잡한 문제이지만 24 시간 이상 보관 된 것은 "저장"으로 간주되며 예를 들어 CV2가 없음 카드 데이터 처리 방법에 대한 엄격한 제어를 받고 있습니다.

그러나 귀하는 또한 데이터가 트랜잭션 후에 반환 경로가 아닌 카드 거래로가는 길에 있어야합니다.

특정 예제와 QSA와 관련하여 어떤 비트의 카드 데이터를 사용하는지 정확하게 논의해야 할 것입니다.

Answer 2

예. 제품이 무엇인지는 중요하지 않습니다. 지불 카드 데이터를 저장, 프로세스 또는 전송하는 경우 PCI-DSS의 범위 내에 있습니다.

캐시 장치가 암호화 된 데이터 만 저장하고 암호 해독에 사용되는 키에 액세스 할 수없는 경우 QSA와 함께 평가 범위가 아님을 동의 할 수 있어야합니다.

암호화되지 않은 결제 카드 데이터를 처리하거나 해독 키에 액세스 할 수있는 경우 캐시 장치에 대한 PCI-DSS 컨트롤의 최소한 하위 세트를 구현해야합니다.

Answer 3

이것이 복잡하다는 데 동의했지만 내 이해에 근거하여 PCI-DSS에서 얻을 수있는 몇 가지 교장이 있습니다.

1. 오픈 네트워크를 통해 전송 될 때 카드 소지자 데이터를 암호화해야합니다. 따라서 로컬 캐시가 있고 캐시의 데이터가 개방형 네트워크를 통해 전송되는 경우 해결해야 할 영역입니다.
2. 필요한 것만 저장하십시오. CV2를 포함하여 카드 홀더 데이터의 일부가 필요하지 않은 경우, 만료 된 경우, 휴식시 데이터로 간주 될 수없는 것에 저장 될 경우에도 저장하지 마십시오.

캐시가 카드 소지자 데이터를 저장하는 경우 표준의 곡물에 반대하는 것 같습니다. 데이터 저장소 (다른 기타)와 관련된 의도는 스토리지, 사용, 실제로 민감한 데이터에 필요한 경우에만 전송하는 것입니다. 캐시 컨텐츠에 대한 자세한 내용이 없으면 민감한 데이터를 캐시 해야하는 이유를 상상할 수 없습니다.

나는 당신이 열려 있고 당신의 QSA와 논의해야한다는 점에서 확실히 동의합니다.