DeBescherming van Kaarthoudergegevensis het Kernziel van PCI DSS. Alle 12 Hauptanforderungen van de Standaarden konvergieren op een einzigen Ergebnis: Kaarthoudergegevens mogen niet in unbefugte Hände gelangen, weder via externe Aanvallen nog via interne Fout nog via Nachlässigkeit in de Infrastrukturverwaltung. Het Verständnis, Welke Gegevens als Kaarthoudergegevens gelden en Welke specifieke Pflichten deren Bescherming na zich zieht, is de Ausgangspunkt voor elke PCI-Naleving-Plan.
Wat als Kaarthoudergegevens geldt: PAN, CVV, Track-Gegevens
PCI DSS definieert twee Kategorien sensibler Betalingsgegevens:Kaarthoudergegevens (CHD)ensensible Authentifizierungsdaten (SAD). Kaarthoudergegevens omvatten dePAN(Primary Account Number, de 16-stellige Kaartnummer), De Namen van de Karteninhabers, het Ablaufdatum en De Servicecode. Sensible Authentifizierungsdaten omvatten De Volledige Magnetstreifen-Track (Track 1 en Track 2), De PIN-Block en De CVV/CVC-Code.
De entscheidende Unterscheidung is tussen Gegevens, deonder bestimmten Bedingungen opgeslagen worden mogen, en Gegevens, denooit na de Autorisatie opgeslagen worden mogen. De PAN kan na de Autorisatie opgeslagen worden, moet maar unlesbar gemacht worden (Versleuteling, Tokenisatie, Trunkierung). Sensible Authentifizierungsdaten, CVV/CVC, vollständiger Track, PIN, mogen nooit opgeslagen worden, niet eenmalig temporär of in verschlüsselter Form.
PCI DSS-Schutzpflichten: Versleuteling, Zugangskontrolle, Überwachung
Wanneer een Bedrijf PANs slaat op, worden specifieke Schutzpflichten ausgelöst. De belangrijkste zijn:
- Versleuteling in het Ruhezustand: Gespeicherte PANs moeten met starken Algorithmen versleuteld sein (AES-256 of RSA 2048+). De Verschlüsselungsschlüssel moet veilig beheert worden, getrennt van de verschlüsselten Gegevens.
- Zugangskontrolle: De Toegang te Kaarthoudergegevens moet op dejenigen beschränkt sein, de u voor geschäftliche Zwecke benötigen, gemäß het "Need to Know"-Prinzip. MFA is voor Alle CDE-Toegangen vereist.
- Überwachung en Logging: Alle Toegangen op Systemen, de Kaarthoudergegevens bevatten, moeten gelogd en Deze Logs voor 12 Maanden aufbewahrt worden.
- Netzwerksegmentierung: De CDE moet van anderen Unternehmensnetzwerken via Firewalls of andere Segmentierungskontrollen getrennt sein.
- Fysieke Beveiliging: Physischer Toegang te Systemen, de Kaarthoudergegevens bevatten, moet op autorisiertes Personal beschränkt sein.
Tokenisatie: het Probleem aan de Wurzel elimineren
De meest effectieve Aanpak naar de Erfüllung van PCI DSS-Datenschutzanforderungen is, PAN nie in eigene Systemen einzulassen. MetTokenisatieüber PCI Proxy EU passeren Kaartgegevens de Systemen van de Handelaar niet: Het Erfassungsformular is van PCI Proxy EU gehostet, de PAN wordt abgefangen en in het gecertificeerde Vault opgeslagen, een wertloser Token wordt naar De Handelaar naar deückgegeben. Het Ergebnis: Geen Schutzpflichten voor de PAN, da geen vorhanden is. Geen CDE, geen Verschlüsselungsanforderungen voor Databases, geen dedizierten Toegangscontrolebeleid voor Betalingsgegevens.
In het Vergleich te een Architektur, bij de PANs intern opgeslagen worden, schätzen wij, dat Tokenisatie de PCI DSS-Naleving-Kosten om70 tot 90 %senkt, erheblich het Risico een Datenpanne verkleint en de Tijd voor de jaarlijkse Naleving-Beheer deutlich verkürzt.
Veelgestelde vragen
Kan ik de Eerste 6 of letzten 4 Ziffern de PAN opslaan?
Ja. PCI DSS erlaubt de Anzeige de Eerste 6 en letzten 4 Ziffern (BIN + letzte 4) als verkürzte PAN te Anzeigezwecken. De Volledige PAN, einschließlich van de mittleren Teils, mag echter nooit in het Klartext opgeslagen worden. Wanneer U een Token gebruiken en de letzten 4 Ziffern te Anzeigezwecken in Uw Datenbank opslaan, fallen Deze Gegevens niet in de CDE-Definition.
Moet ik Logs de Kaarthoudergegevens-Transacties aufbewahren?
U moeten Transaktionsprotokolle aufbewahren, de tonen, dat Betalingen stattgefunden hebben, maar Deze Logs moeten geen Volledige PAN bevatten. Wanneer Uw Logs Volledige Kaartnummers aufzeichnen, zijn Deze Logs Teil Uw CDE en moeten beschermd worden. De beste Praxis is, Logs met Transaktions-IDs te führen, de op De Vault van de Anbieters verweisen, zonder sensible Kaartgegevens te bevatten.
Is het Opslaan van CVV voor terugkerende Betalingen erlaubt?
Nein. Het Opslaan van de CVV/CVC na de Autorisatie is ausdrücklich van PCI DSS verboten, ook voor Card-on-File-Szenarien en terugkerende Betalingen. Voor Folgezahlungen na de Eerste Transactie is geen CVV vereist: Het Zahlungsnetzwerk erkennt als Handelaar-initiierte Transactie naar. Het CVV-Opslaan, ook wanneer versleuteld, is een schwerwiegende PCI-Inbreuk.
De meest effectieve Methode naar het Bescherming van Kaarthoudergegevens? U nooit in Uw Systemen hebben.Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op