Согласен, что это сложно, но, насколько я понимаю, в PCI-DSS можно извлечь пару принципов:
- Данные держателя карты должны быть зашифрованы при передаче по открытой сети. Так что, если у вас есть локальный кеш, а данные из кеша должны передаваться по открытой сети, вам придется обратиться к этой области.
- Храните только то, что вам нужно. Если вам не нужны некоторые части данных держателя карты, включая CV2, срок действия истекает, тогда не сохраняйте их, даже если они хранятся в том, что не может считаться данными в покое.
Мне кажется, что если в вашем кеше хранятся данные о держателях карт, это идет вразрез со стандартом. Целью в отношении хранения данных (среди прочих) является ограничение хранения, использования, передачи только там, где это действительно требуется для конфиденциальных данных. Без дополнительной информации о вашем содержимом кэша я не могу представить, почему вам нужно кэшировать конфиденциальные данные.
Я, безусловно, согласен с г-ном Чикисофт в том, что вы должны быть открыты и обсудить с вашим QSA, так как я уверен, что он / она однажды ознакомившись с деталями, сможет дать вам некоторые рекомендации.