我们需要存储最后4位数的信用卡,(为了让客户知道他们使用了哪张卡?)和有效期(通知客户他们的卡即将到期)我们的订阅/定期付款SaaS应用程序。
是PCI DSS中允许的那两个数据存储?请参考/链接到官方网站或文件。
请注意:我们不会存储名片上卡和 CVV号
答案 0 :(得分:1)
你应该考虑PCI法规。
此表列出了可以存储的数据: https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf
"如果出于商业目的需要,可以存储持卡人的姓名,PAN,到期日期和服务代码,只要它们受到PCI DSS要求的保护。"
CNC中 根据该文档的底部表格,它表示您应该能够存储这些元素。由于您没有存储完整的PAN,因此规则3.4不适用于其他元素。
如果有帮助,我们获得了1级认证,我们以明文形式存储了最后4个和到期日期。除非您是第1级(假设此处是商家,而非服务提供商),否则您不需要审核。
答案 1 :(得分:1)
从我在PCI数据存储中读到的内容和不要使用PDF(https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf)
只要您不存储PAN,您就可以存储到期日期,服务代码和持卡人姓名。
PDF直接引用:
如果与PAN一起存储,则必须保护这些数据元素。此保护应符合PCI DSS要求,以便对持卡人数据环境进行一般性保护。此外,其他法律(例如,与消费者个人数据保护,隐私,身份盗用或数据安全相关)可能需要对此数据进行特定保护,或者如果在此期间收集与消费者相关的个人数据,则需要正确披露公司的做法。业务过程。但是,如果未存储,处理或传输PAN,则PCI DSS不适用。