Если вы храните PAN (номер карты), он обязательно должен быть зашифрован.
Если вы храните имя держателя карты, дату истечения срока действия, номер выпуска (и они могут быть связаны с PAN), тогда они должны быть зашифрованы, но (насколько я понимаю) это не является абсолютно необходимым. PCI-DSS только заявляет, что как минимум PAN должен быть зашифрован.
Код CV2 / AVS / CSC не может быть сохранен после авторизации, и в идеале вы должны доказать, что он вообще не хранится (например, хранится только в памяти при выполнении авторизации)
Что касается сертификатов / ключей - вы можете просто использовать один ключ для шифрования всех данных, связанных с картой. Лучше всего не использовать ключи для нескольких целей, поэтому, если у вас есть другие (не связанные с картой) данные, которые зашифрованы, используйте для этого отдельный ключ.
Самая сложная часть - это та, которую вы не упомянули подробно, - это управление ключами. Чтобы соответствовать требованиям PCI, ключ должен храниться в отдельном физическом ящике для базы данных, и вам потребуется возможность менять ключ не реже одного раза в год. SQL 2008 поддерживает это с помощью Extensible Key Management (EKM).
Все эти моменты лучше всего обсуждать с независимым QSA (квалифицированным оценщиком безопасности), которого вам в какой-то момент необходимо будет привлечь, независимо от того, чтобы соответствовать требованиям PCI. Ваш QSA сможет направить вас по таким вопросам, как этот, и, в конечном итоге, это его / ее совет, которому вы должны следовать, чтобы соответствовать требованиям.
Стоит упомянуть, что большинство людей вскоре понимают, насколько обременительным может быть соблюдение требований PCI, и стремятся минимизировать это бремя, используя сторонний платежный шлюз. Большинство платежных шлюзов позволяют выполнять авторизацию / расчет и хранить данные карты на своих (уже совместимых с PCI) серверах. Затем вам нужно сохранить только TokenId, который ссылается на эти платежные реквизиты, на случай, если вам потребуется выполнить дальнейшие платежи / возврат средств с этой карты.
В любом случае удачи!
person
PaulG
schedule
10.02.2010