Хранение частичных номеров кредитных карт
https://stackoverflow.com/questions/1485442
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Возможные дубликаты:
- Лучшие методы получения и хранения информации о кредитной карте с PHP
- Хранение сведений кредитной карты
- Хранение информации о кредитной карте
Мне нужно хранить номера кредитных карт на сайте электронной коммерции. Я не собираюсь хранить весь номер кредитной карты, так как это было бы очень рискованно. Я хотел бы хранить хотя бы первые пять цифр, чтобы позже я мог определить финансовое учреждение, которое выпустило карту. В идеале я хотел бы сохранить как можно больше кредитного номера, чтобы помочь любым будущим перекрестным ссылкам и т. Д.
Сколько цифр и какие конкретные цифры я могу безопасно хранить?
Например, я полагаю, что это не будет достаточно безопасно:
5555 5555 555* 4444
Потому что вы можете рассчитать недостающую цифру.
Точно так же это было бы безопасно, но не так полезно:
5555 5*** **** ****
Есть ли общепринятая схема для хранения частичных кредитных номеров?
Решение
Стандарт безопасности данных платежной карты гласит, что если вы обрабатываете данные держателя карт, то вы подвергаетесь ограничениям PCI DSS (что очень всеобъемлющее и задача выполнить). Если вы хотите хранить часть номера карты и не хотите иметь дело со стандартом, вам нужно убедиться, что а) вы храните Не более, чем первые 6 и последних 4 цифр; б) Вы никогда не храните, не обрабатываете и не передаете больше, чем это. Это означает, что усечение должно быть выполнено до того, как данные вступит в ваш контроль.
Учитывая, что вы говорите о сайте электронной коммерции, я думаю, вам рано или поздно иметь дело с PCI DSS (поскольку, если вы не принимаете полные кастрюли, вы не можете обрабатывать транзакции). Реально, вы должны избегать хранения больше, чем первые 6 и последних 4 цифр сковороды; Стандарт тогда не «заботится» об этих данных, и вы можете сохранить их в любой форме, которую вы считаете подходящим. Если вы храните, скажем, первые 7 цифр, то требование 3 стандартных ударов (и вам начинают действительно понимать управление ключами в шифровании).
Я надеюсь, что это полезно.
Другие советы
Март 2013 Редактировать:
Очень уместный ресурс - это Совет по стандартам безопасности PCI, организация, основанная в 2006 году пятью крупнейшими мировыми брендами кредитных карт (Amex, Visa, Mastercard, JCB International и Discovery) и которая является фактическим полномочием по вопросам безопасности для индустрии платежных карт (PCI).
Эта организация публикует, в частности Стандарт безопасности данных PCI, в настоящее время в своем версии 2.0, в котором охватываются такие проблемы, как управление полными или частичными номерами кредитных карт. Этот документ, если он свободно доступен, но требует простой регистрации и подтверждения условий лицензии.
Ниже приведено оригинал, c. Ответ 2009, в основном правильный, но апокрифический.
Обычной практикой (законной или нет, я не знаю) состоит в Хранить последние 4 цифры, поскольку это может быть использовано, чтобы помочь клиенту подтвердить, какие из его/ее кредитных карт использовались для конкретной транзакции.
Без значительного улучшения шансов злонамеренного человека, угадывающего полное число, можно хранить первые 4 цифрыS, которые являются представителями финансового учреждения, которое выпустило карту, как упоминалось в вопросе.
Не сохраняйте гораздо больше цифр, чем эти 8 цифр, потому что в противном случае, учитывая Учебная сумма Luhn-10, Вы можете предоставить достаточно информации, чтобы сделать угадывание полного числа более правдоподобным (если все еще относительно тяжело, даже с пониманием серии, используемой данным эмитентом, в определенный период времени, но нужно быть осторожным ...)
Чтобы сделать все это более безопасным, технически и на законных основаниях, вы можете рассмотреть Хранение такой информации только в том случае, если клиент явно допускает это. Анкет Вы также должны рассмотреть маскировку этой информации Простой хэш для хранения в базе данных.
Кроме того, то, что вы можете / должны хранить после конкретной транзакции, это идентификатор транзакции Поставляется в процессоре кредитных карт, в то время, когда трансактон отправляется. Этот идентификатор является ключом, который позволяет найти большинство (все?) Информации, которая вам даже понадобится, возникнут ли какие -либо проблемы с конкретной транзакцией. Этот тип информации обычно можно запрашивать с безопасного веб-сайта, поддерживаемого компанией по обработке, наряду с некоторыми совокупными отчетами, которые могут включать группировку с помощью карты (Amex, Visa ...), если вы думаете о хранении Первые четыре.
Если вам не нужно хранить весь номер кредитной карты, зачем вам хранить его вообще? Если вы хотите сэкономить финансовое учреждение, которое выпустило карту, почему вы не храните финансовое учреждение, которое выпустило карту?
Принятый шаблон не хранит их вообще.
В определенных юрисдикциях вы можете нарушать закон, сохраняя их или любую их часть.
Вместо этого вы могли бы сохранить односторонний (и, следовательно, невозможно) хэш кредитной карты.
Компании по кредитным картам имеют стандарт для этого. Вы, вероятно, найдете его где -то в условиях обслуживания вашего платежного процессора, что вы будете подчиняться этому стандарту. Это отвечает вам на вопросы. Вы можете найти стандарт здесь
На ваш конкретный вопрос отвечает в разделе 3.3 документа PCI/DSS. Первые шесть и последние четыре - максимум для дисплея. Клиент (бумага?) Квитанции более ограничительны. Те, у кого есть законные, должны знать, могут увидеть полные данные карты.
Моя рекомендация состоит в том, чтобы связаться с вашим торговым поставщиком и посмотреть, какие варианты доступны вам. В ряде современных шлюзов транзакции есть функции «хранилища», в которых конфиденциальная информация хранится у поставщика, и вы просто ссылаетесь на клиентов по номеру токена, когда хотите их выставить счет или проверить информацию об учетной записи.
В том же направлении использование специфических токенов транзакций может использоваться для ссылки на необходимые данные, хранящиеся в системе поставщиков.
Однако я не могу подчеркнуть важность чтения и понимания PCI DSS. Простое наказание безопасного хранения не волшебным образом обогнать вас от требований к соответствию PCI !! Это возможно только тогда, когда ваша система никогда не касается данных полной карты.
Здесь, в Канаде, обычным способом является хранение первых 4 цифр (для определения финансового учреждения) и 4 последней цифры для определения кредитной карты.
Но будьте уверены, что вы не нарушили никаких законов.
