我正在尝试找到在购买之前唯一识别客户的最佳方式,以确保优惠券代码不会被同一个人使用两次。我不打算让我的网站完全符合PCI标准,因为我不打算存储信用卡号码(仅限POST)。我想生成一个与姓氏连接的第一个名字的SHA 256(单向加密)和信用卡号码并将其存储到我的数据库中。这是否需要PCI兼容,尽管它是单向加密?如果使用信用卡的名字+姓氏+最后4位数,它还需要完全符合PCI吗?
谢谢,
答案 0 :(得分:1)
无论您打算如何生成哈希值,您都可以获得完整的卡号 ,这意味着您将参与PCI合规性。
如果您能够对卡号进行哈希处理,并且只存储哈希值,那么这肯定会使您更容易实现PCI合规性,但您仍需要解决其他问题以确保(例如)没有流氓员工可以在散列之前收集卡数据。
只要每张卡都有一个独特的盐,就可以使用SHA256进行哈希处理。您在这里使用名字+姓氏作为盐的计划可能被认为是可接受的。
理想情况下,您可以使用支付网关来捕获并标记卡的详细信息。这意味着您永远无法访问完整的卡号,并且几乎可以消除您对PCI合规性的责任,也意味着您可能只需使用令牌ID代替卡号,而无需进行散列。