我正在做的是开发一个财务软件并将其连接到符合 pci 的第三方信用卡公司。我们公司是一家加拿大公司。我们不符合 pci,也不打算符合 pci。但我们想保存 PAN 的最后 4 位数字,以帮助一线员工识别。
如果我只保存 PAN、客户名称、到期日期和 PRN 的最后 4 位数字,我是否必须符合 PCI 标准?如果必须,如果我只用 PRN 保存 PAN 的最后 4 位数字,我是否必须符合 PCI 标准?
我阅读了 PCI DSS 文档。它只说如果我保存 PAN,我必须符合 pci,但没有说我是否只保存最后 4 位数字。
谢谢你。
PCI-DSS 适用性的决定因素是您是否存储、处理或传输主帐号(卡正面的长号码)。
如果您只有该号码的最后四位数字并且没有以任何其他方式与 PAN 的任何其他数字接触,那么您不需要满足 PCI 要求。
但是,如果您在任何地方都有完整的卡号,即使只是为了处理它,那么您也需要满足 PCI 的要求。
您可以在 PCI 网站上提供的 PCI 标准(2.0 版)的第 7 页查看此内容:https ://www.pcisecuritystandards.org/
如果您的公司正在存储、处理或传输持卡人姓名、到期日期、最后 4 位数字,则您无需符合 PCI DSS 要求。但是,如果存储、处理或传输持卡人数据以及 PAN 号码,则您必须符合 PCI DSS 12 要求,而除要求 3.1 外,它不适用,因为它仅适用于 PAN 号码。
如果您的公司向第三方供应商(如 pay pal 和 India pay 等)进行交易。PCI DSS 适用于支付网关以及公司。因为持卡人信息从公司服务器传输到支付卡服务器。
如果用户在您的“任何”应用程序中输入“任何”信用卡相关数据,则无论您使用它做什么,您都必须符合 pci。另外,随着 pci 越来越受欢迎,符合 pci 标准总是有益的。
我能找到的最佳答案是在 Authorize.net 的网站上:
当我读到它时,他们基本上是在说你可以利用漏洞。 从技术上讲,您无法存储到期日期。但是您可以存储基于到期日期的信息,即您要提醒客户更新其卡的日期。
美国每个以某种方式处理信用卡的网站都必须符合 PCI 标准。合规程度将根据您的具体操作而有所不同。PCI合规性确实包括存储信用卡号和到期日期的最后四位数字(您可以这样做,但他们不推荐这样做,如果这样做,他们建议对其进行加密)。