您是否考慮在緩存數據類別中使用緩存產品?PCI/DSS:靜態數據
1
A
回答
0
這是一個複雜的問題,但超過24小時的任何事情都被視爲「存儲」,並且嚴格控制卡數據的處理方式 - 例如,無CV2。
但是,您也必須將數據發送到卡交易,而不是交易後的返回路徑。
你可能需要討論您的具體例子,正是你擔心有什麼用卡數據的哪個位的QSA
+0
您在哪裏找到關於存儲的「24小時」規則? – 2017-05-30 12:33:41
0
同意這是複雜的,但根據我的理解,有幾個校長您可以從PCI-DSS中抽取:
- 持卡人數據在通過開放網絡傳輸時必須加密。所以如果你有一個本地緩存,並且緩存中的數據將通過一個開放的網絡進行傳輸,那麼你將不得不解決這個問題。
- 只存儲你需要的東西。如果您不需要持卡人數據的某些部分(包括CV2)到期,那麼即使其存儲在哪些不能被視爲靜止的數據中,也不會存儲它。
它似乎在我看來,如果你的緩存存儲持卡人數據,它違背了標準的粒度。關於數據存儲(其他)的意圖是將存儲,使用和傳輸限制在敏感數據實際需要的地方。沒有你的緩存內容的進一步細節,我不能想象爲什麼你需要緩存敏感數據。
我當然同意Cheekysoft先生的看法,您應該公開並與您的QSA進行討論,因爲我確信他/她曾經對細節進行了啓發,能夠爲您提供一些指導。
1
是的。如果產品存儲,處理或傳輸支付卡數據並不重要,那麼它在PCI-DSS的範圍內。
話雖如此,如果您的緩存設備只存儲加密數據,並且無法訪問任何用於解密的密鑰,那麼您應該能夠同意您的QSA認爲它超出了您的評估範圍。
如果它確實處理未加密的支付卡數據,或者它有權訪問解密密鑰,那麼您將必須爲緩存設備實現至少一個PCI-DSS控件的子集。
相關問題
- 1. 靜態和非靜態數據以JavaScript
- 2. UIPickerView,靜態數據
- 3. 與靜態數據
- 4. 管理靜態數據
- 5. 的foreach與靜態數據
- 6. 靜態數據結構
- 7. 加密靜態數據
- 8. python類靜態方法動態綁定靜態數據成員
- 9. C++靜態對象中的類的靜態數據成員和靜態方法?
- 10. 訪問Haxe靜態字段的靜態初始化的非靜態數據
- 11. 如何從靜態的靜態類/方法傳遞數據?
- 12. 類的靜態方法訪問的靜態數據成員
- 13. 在靜態庫中查找靜態分配的數據塊
- 14. 靜態函數
- 15. 靜態數組
- 16. 靜態函數
- 17. 覆蓋靜態成員和「靜態靜態數組」
- 18. C++ dllimport的靜態數據成員
- 19. 靜態數據級聯下拉列表
- 20. SmartGWT的與靜態數據源錯誤
- 21. ASP.NET中的靜態數據集
- 22. ASP.NET webservice的大型靜態數據?
- 23. django session.objects.filter給出靜態數據
- 24. 半靜態數據設計問題
- 25. 修改靜態數據成員
- 26. 使用Flux獲取靜態數據?
- 27. CUDA全局靜態數據的替代?
- 28. jqgrid與asp.net中的靜態數據
- 29. Android處理靜態數據庫對象
- 30. 數據庫連接用靜態方法
我認爲你需要澄清你的問題。 – Cheekysoft 2009-06-30 10:32:05