在PAN中发送12个第一位数，是否符合PCI-DSS标准？

Question

我正在寻找一种解决方案，要求我们捕获并发送客户PAN的前12位数字，以便启动一项交易，该交易将在稍后阶段由客户使用外部支付处理器完成。

将生成包含12个第一个数字的事务日志。

从PCI-DSS的角度来看，这是否可行，还是要求我们完全符合PCI-DSS要求？

Answer 1

据我所知，PCI-DSS在两个原则上非常清楚：

1. 避免卡片数据处于静止状态（存储中）。
2. 如果必须显示卡号，则@paulg表示前6个和后4个是可接受的而不是更多。哪个只有10位数通常6位未知。你的12只留下了4个未知的数字。

Answer 2

PCI确实允许这样做以允许客户服务计算机搜索，使得持卡人可能在电话上并要求信用卡号码的前8位数字以便找到给定的客户或交易 - PCI人员了解您无法通过解密系统上的每个信用卡号来执行有效的客户/交易搜索，以执行搜索匹配。但我认为，只有当您在PCI-DSS涵盖的所有其他领域满足PCI-DSS要求时，我才会认为您可以存储未加密的部分信用卡号码。