关于 PCI-DSS 合规性 - 文件加密
Regarding PCI-DSS compliance - File encryption
我们的应用程序需要通过 FTP 接口处理来自外部系统的带有信用卡信息(假定信用卡号)的文件。这是一个平面文件(文本)。我们需要根据一些业务规则对数据进行处理,然后需要通过FTP接口将其转发到另一个外部系统。此外,我们的应用程序需要保留入站文件和出站文件的副本。
那么,为了符合 PCI-DSS 指南,使用 GnuGP 加密文件是否足够,或者我们是否需要单独加密数据元素(如 CC 编号)然后加密文件?
感谢和问候,
三
不幸的是,加密数据并没有将其从 PCI 范围中移除,并且对减轻 PCI 合规性要求的作用相对较小。如果您不是处理交易的人——也就是说,您不是拥有商家帐户的人——那么 PCI 合规性不是您的问题,但在那种情况下,无论您的业务合作伙伴(您的人)从中获取数据,或将其发送到?)可能不合规,因为您存储了卡号,因此属于它们的范围。
我们的应用程序需要通过 FTP 接口处理来自外部系统的带有信用卡信息(假定信用卡号)的文件。这是一个平面文件(文本)。我们需要根据一些业务规则对数据进行处理,然后需要通过FTP接口将其转发到另一个外部系统。此外,我们的应用程序需要保留入站文件和出站文件的副本。
那么,为了符合 PCI-DSS 指南,使用 GnuGP 加密文件是否足够,或者我们是否需要单独加密数据元素(如 CC 编号)然后加密文件?
感谢和问候, 三
不幸的是,加密数据并没有将其从 PCI 范围中移除,并且对减轻 PCI 合规性要求的作用相对较小。如果您不是处理交易的人——也就是说,您不是拥有商家帐户的人——那么 PCI 合规性不是您的问题,但在那种情况下,无论您的业务合作伙伴(您的人)从中获取数据,或将其发送到?)可能不合规,因为您存储了卡号,因此属于它们的范围。