0

我们的应用程序需要通过 FTP 接口处理来自外部系统的带有信用卡信息(假设信用卡号)的文件。这是一个平面文件(文本)。我们需要根据一些业务规则对数据进行处理,然后通过 FTP 接口将其转发到另一个外部系统。此外,我们的应用程序需要保留入站文件和出站文件的副本。

那么,为了符合 PCI-DSS 指南,使用 GnuGP 加密文件是否足够,或者我们需要单独加密数据元素(如 CC 编号)然后加密文件?

谢谢和问候, 桑

4

1 回答 1

2

不幸的是,加密数据并没有将其从 PCI 范围中移除,并且对缓解 PCI 合规性要求的作用相对较小。如果您不是处理交易的人——也就是说,您不是拥有商户账户的人——那么 PCI 合规性就不是您的问题,但在这种情况下,无论您的业务合作伙伴(您从中获取数据或将其发送到?)可能不合规,因为您存储了卡号,因此属于他们的范围。

于 2015-06-25T15:46:02.547 回答