您是否会考虑在静态数据类别中使用缓存产品?
答案 0 :(得分:1)
是。无论产品是什么,如果它存储,处理或传输支付卡数据,那么它都在PCI-DSS的范围内。
话虽如此,如果您的缓存设备只存储加密数据并且无法访问用于解密的任何密钥,那么您应该能够同意您的QSA认为它超出了您的评估范围。
如果它确实处理了未加密的支付卡数据,或者它有权访问解密密钥,那么您必须至少为缓存设备实现PCI-DSS控件的子集。
答案 1 :(得分:0)
这是一个复杂的问题,但任何持有超过24小时的内容都被视为“存储”,并且严格控制卡数据的处理方式 - 例如,没有CV2。
但是,您也必须在交易之前将数据发送到卡交易而不是返回路径。
您可能需要讨论您的具体示例以及您对QSA所关注的卡数据的确切用途
答案 2 :(得分:0)
同意这很复杂,但根据我的理解,你可以从PCI-DSS中得出几个原则:
在我看来,如果你的缓存存储持卡人数据,它就违背了标准。与数据存储有关的意图(尤其是其他人)是将存储,使用,传输限制在敏感数据实际所需的位置。如果您没有关于缓存内容的更多详细信息,我无法想象为什么需要缓存敏感数据。
我当然同意Cheekysoft先生的意见,因为你应该公开并与你的QSA讨论,因为我相信他/她曾经对细节有所启发,能够为你提供一些指导。