您会考虑在静态数据类别中使用缓存产品吗?
问问题
668 次
3 回答
1
是的。不管产品是什么,如果它存储、处理或传输支付卡数据,那么它就在 PCI-DSS 的范围内。
话虽如此,如果您的缓存设备仅存储加密数据并且无权访问任何用于解密的密钥,那么您应该能够同意您的 QSA,即它超出了您的评估范围。
如果它确实处理未加密的支付卡数据,或者如果它可以访问解密密钥,那么您将必须至少为缓存设备实施 PCI-DSS 控件的子集。
于 2011-12-27T00:00:57.150 回答
0
这是一个复杂的问题,但任何保存超过 24 小时的东西都被视为“存储”,并且受到关于如何处理卡数据的严格控制——例如没有 CV2。
但是您也必须将数据传送到卡交易的途中,而不是在交易后的返回路径中。
您可能需要讨论您的具体示例,以及您关心的 QSA 卡数据位的确切用途
于 2009-06-30T10:36:05.207 回答
0
同意这很复杂,但根据我的理解,您可以从 PCI-DSS 中借鉴几个原则:
- 持卡人数据在通过开放网络传输时必须加密。因此,如果您有一个本地缓存,并且缓存中的数据要通过开放网络传输,那么您必须解决这个问题。
- 只存储您需要的东西。如果您不需要持卡人数据的某些部分,包括 CV2、到期,那么即使它被存储在不能被视为静态数据的地方,也不要存储它。
在我看来,如果您的缓存正在存储持卡人数据,那么它似乎与标准背道而驰。与数据存储(以及其他)相关的意图是将存储、使用、传输限制在敏感数据实际需要的地方。如果没有您提供有关缓存内容的更多详细信息,我无法想象您为什么需要缓存敏感数据。
我当然同意 Cheekysoft 先生的观点,即您应该开放并与您的 QSA 讨论,因为我相信他/她一旦对细节有所了解,将能够为您提供一些指导。
于 2010-04-15T10:38:52.197 回答