главная/PCI DSS или как хранить платежную информацию банковских карт
PCI DSS

PCI DSS или как хранить платежную информацию банковских карт

PCI DSS (Payment Card Industry Data Security Standard) — международный стандарт безопасности данных платёжных карт.

Его соблюдение обязательно для всех, кто принимает, передаёт, обрабатывает или хранит данные банковских карт.

Для чего нужен PCI DSS?

  • Защищает данные держателей карт от кражи.
  • Снижает риск мошенничества.
  • Требуется платёжными системами (Visa, Mastercard и др.).
  • Является обязательным для интернет-магазинов, эквайринга, процессинговых центров, платёжных сервисов.

Что можно хранить в открытом виде

(должно быть защищено организационными мерами, но не требует криптографического шифрования):

  • Имя держателя карты (Cardholder Name)
  • Номер карты (PAN) — только в маскированном виде (например: 4111 11** **** 1111)
  • Срок действия карты (Expiration Date)
  • Тип карты (Visa/Mastercard и т.п.)

Что нельзя хранить вообще

(хранение запрещено после авторизации):

  • CVV/CVC/CVV2
  • PIN-код
  • Данные PIN-блока
  • Track 1 и Track 2 данные магнитной полосы
  • Полней PAN в открытом виде (если не зашифрован)

Что обязательно шифровать

(если такие данные хранятся — исключительно в зашифрованном виде):

  • Полный номер карты (PAN / Primary Account Number)
    • Должен быть защищён криптографией, токенизацией или хешированием.
  • Любые данные держателя карты, которые позволяют однозначно идентифицировать карту, если они хранятся вместе с PAN.
  • Передача карточных данных по сети — всегда только через защищённые каналы (TLS 1.2+).

Похожие записи:

Доменные примитивы
ACL (Anti-Corruption Layer)
Почему неправильно выставленный innodb_buffer_pool_size роняет сервер
Распределённые транзакции и консенсус. 2PC, 3PC
Временная метка Лампорта