我们的应用程序需要通过FTP接口从外部系统处理带有信用卡信息(假设信用卡号)的文件。这是一个平面文件(文本)。我们需要根据一些业务规则处理数据,然后需要通过FTP接口将其转发到另一个外部系统。我们的应用程序需要保留入站文件和出站文件的副本。
因此,为了符合PCI-DSS指南,是否足以使用GnuGP加密文件,或者我们是否需要单独加密数据元素(如CC编号)然后加密文件?
谢谢和问候, 圣
答案 0 :(得分:2)
不幸的是,加密数据并不会将其从PCI示波器中删除,并且在降低PCI合规性要求方面做得相对较少。如果您不是处理交易的人 - 也就是说,您不是拥有商家帐户的人 - 那么PCI合规不是您的问题,但在这种情况下,无论您的业务合作伙伴(您的人)从中获取数据或将其发送到?)可能因为您存储卡号而不属于其范围而不合规。