PCI DSS合规性世界中数据位置方面的最佳做法是什么? 我可以存储来自另一个国家/地区的数据PCI / PII数据(不,我们没有存储任何CC#,CVV或任何磁条数据)?
比如说,商家在欧洲开展业务(比如法国或德国),商家服务器和数据库在美国,是否会被视为违反PCI合规?
答案 0 :(得分:1)
PCI并不要求将数据保留在本地。他们只希望您确保数据存储在任何地方均符合PCI DSS法规。政府通常会在国外转移或存储数据。该特定国家的像印度一样,实体将数据存储在印度境外,但在通过印度中央银行RBI(印度中央银行,控制印度货币的货币政策)法规之后,该数据才得以迁移(交易数据)及其元数据)返回印度,所有公司都必须这样做并提供声明。
答案 1 :(得分:0)
最佳做法是在本地使用hsm。这会将所有敏感数据字段标记为哈希值。然后可以分发数据。必须对所有反向查找进行身份验证,并使用hsm进行本地记录。