PCIDSS要求3.2中的第一句话是:“授权后不要存储敏感的认证数据”。我是否也适用于操作存储器(RAM)?因为我的安全人员以这种方式理解它,所以他禁止我们在Java语言中使用java.lang.String。 他的观点是,因为JAVA String是不可变的,所以在授权后立即删除它是不可能的,并且必须等到垃圾收集器将其从RAM中删除。垃圾收集器不在我们的控制之下,因此我们不能强制在授权后立即从RAM中删除敏感数据。因此,我们不符合要求3.2。 我的观点是,需求3.2不是关于RAM,而是关于持久存储(文件系统,数据库等)。 这不仅仅是将PAN的一些中心表示从String替换为Char数组,而且还会阻止我们使用大量标准的JAVA库来实现IO。例如,支付网关的REST控制器。 现在我们正处于设计新应用程序的阶段,因此决定这将真正帮助我们。 是否有来自可靠来源的官方解释?