0

我试图找到在客户购买之前唯一识别客户的最佳方法,以确保同一个人不会两次使用优惠券代码。我不打算让我的网站完全符合 PCI 标准,因为我不打算存储信用卡号(只做 POST。)我想生成一个名字与姓氏连接的 SHA 256(单向加密)和信用卡号并将其存储到我的数据库中。这是否需要 PCI 合规性,尽管它是一种单向加密?如果使用名字 + 姓氏 + 信用卡的最后 4 位数字,还需要完全符合 PCI 吗?

谢谢,

4

1 回答 1

2

您能够获得完整的卡号这一事实意味着您将参与 PCI 合规性,无论您计划如何生成散列。

如果您能够对卡号进行哈希处理,并且只存储哈希值,那么这肯定会让您更容易实现 PCI 合规性,但您仍然需要解决其他问题以确保(例如)没有流氓员工可以收集到哈希之前的卡数据。

使用 SHA256 散列是可以接受的,只要每张卡都有唯一的盐。您使用名字 + 姓氏作为盐的计划在这里可能被认为是可以接受的。

理想情况下,尽管您将使用捕获并标记卡详细信息的支付网关。这意味着您永远无法访问完整的卡号,并且几乎可以消除您对 PCI 合规性的责任,还意味着您可能只使用令牌 ID 代替卡号,并且不需要散列。

于 2013-05-09T09:13:50.393 回答