При токенизации информации о кредитной карте имеет ли смысл токенизировать каждый атрибут кредитной карты, чтобы быть совместимым с PCI?

Question

Например, если кредитная карта имеет следующие атрибуты:

• Имя
• Фамилия
• Номер кредитной карты
• CVV
• Срок действия

Является ли токенизация просто Номер кредитной карты достаточно для PCI-совместимости?

Соответственно, если данные ACH токенизируются и включают:

• ACH Routing
• ACH Название банка
• ACH Номер счета

Является ли токенизация просто Номер учетной записи достаточной для совместимости с PCI?

Или каждый атрибут должен иметь свой собственный токен так, чтобы количество токенов, необходимых для соответствия PCI, равно количеству атрибутов.

Answer 1

ACH не является частью соответствия PCI (PCI обозначает платеж карта промышленность) и имеет свой собственный набор правил, которые вы должны соблюдать ( см. Соответствие NACHA ).

Смысл токенизации - скрыть всю информацию о кредитной карте от всех, кроме тех, кому нужен доступ к ней. Затем токен используется для представления карты в вашей системе.

Что вы, вероятно, подразумеваете под шифрованием . Во-первых, вам не следует хранить информацию о кредитной карте, и, если вам это требуется, вам следует использовать для этого третье лицо. Многие платежные шлюзы и сервисы предоставляют такую ​​возможность и снимают с вас большую часть бремени и рисков, связанных с соблюдением PCI. Но если вы решите хранить эти данные локально, PCI описывает какое шифрование вы можете использовать и что должно быть зашифровано:

• Основной номер счета
• Имя владельца карты ( если хранится с номером учетной записи)
• Дата истечения срока действия (если хранится с номером учетной записи)

Вы также можете не хранить CVV-номера при любых обстоятельствах.