存储信用卡信息.休息时加密
一个客户要求一个方法,这样他的应用程序就可以接收信用卡信息并将它们存储起来。他需要这个来处理客户的定期付款。
我告诉他,我可以建立一个非对称(RSA)加密的解决方案来存储数据,只有他能够解密,如果他有正确的密钥。
私人钥匙只能由客户自己持有。因此,系统作为一个整体将无法在任何时候解密信息。
这会是一个合法的解决办法吗?由于数据总是在休息时加密,这是否违反了信用卡方面的任何规定?唯一可能泄露的方法是通过客户的钥匙。如果他继续说,会有什么麻烦吗?
回答 2
Security用户
发布于 2020-05-28 21:00:44
如果您的客户需要符合PCI,那么是的,卡数据必须在休息时加密。但是,这是最容易的部分。硬部分是对用于解密卡数据的密钥的管理。这里有一些您需要知道的90+页面(参见https://www.pcisecuritystandards.org/documents/PCI_销钉_安全性_要求_测试_v3_Aug2018.pdf)。您的过程必须有记录,您必须保持审计跟踪,等等。
大多数企业认为,将卡数据存储用于重复计费的目的卸载到为此设置的服务(如Authorize.Net )要简单得多。见https://www.authorize.net/our-features/recurring-payments.html。
Security用户
发布于 2020-05-29 15:27:02
您可能会发现PCI SSC FAQ 1233很有用。“加密的持卡人数据如何影响第三方服务提供商的PCI DSS范围?”https://pcissc.secure.force.com/faq/articles/Frequently_问_Question/How-does-encrypted-cardholder-data-impact-PCI-DSS-scope-for-third-party-service-providers。
https://security.stackexchange.com/questions/232368
复制相似问题
腾讯云开发者
