我正在寻找一种解决方案,该解决方案要求我们捕获并发送客户 PAN 的前 12 位数字,以便启动将由客户在稍后阶段通过外部支付处理器完成的交易。
将生成具有前 12 位数字的事务日志。
从 PCI-DSS 的角度来看,这是否可行,还是需要我们完全遵守 PCI-DSS 要求?
问问题
532 次
2 回答
2
据我所知,PCI-DSS 有两个原则非常清楚:
- 尽可能避免静态卡数据(存储中)。
- 如果必须显示卡号,@paulg 表示前 6 个和后 4 个是可以接受的,而不是更多。这只有 10 位数字,通常有 6 位数字未知。你的 12 只留下 4 位未知数。
于 2013-09-08T22:02:48.480 回答
-2
PCI 确实允许这样做,以便允许客户服务计算机搜索,以便持卡人可能正在打电话并要求信用卡号码的前 8 位数字以找到给定的客户或交易 - PCI 人员了解您无法通过解密系统上的每个信用卡号来执行有效的客户/交易搜索以执行匹配搜索。但我认为,只有当您满足 PCI-DSS 涵盖的所有其他领域的 PCI-DSS 要求时,才允许您存储未加密的部分信用卡号这一事实。
于 2012-11-09T20:48:39.973 回答