Что я могу хранить локально, все еще будучи PCI-совместимым, используя Braintree в Rails?

Question

Какую информацию о кредитной карте мне разрешено хранить при совместимости с PCI, если я полагаюсь на braintree для обработки платежей?

Причина, по которой я спрашиваю, заключается в том, что в качестве простой оптимизации клиент имеетЯ уже купил что-то в своем магазине с помощью кредитной карты, я могу показать им последние 4 цифры своей кредитной карты и тип карты, не прибегая к API-вызову BrainTree.Мне бы пришлось позвонить, если бы они захотели сменить карту или сделать покупку, но для этой одной страницы я бы не стал.

Вопрос в том, разрешено ли мне хранить:

• последние 4 цифры кредитной карты
• и тип карты
• и, возможно, имя владельца карты

Или где находится списокСоответствие требованиям PCI "что можно и нельзя" я могу проверить?

Answer 1

Да, это хорошо, хранить эти вещи.

Ознакомьтесь с кратким справочником о том, что следует и чего не следует делать в Кратком справочном руководстве по PCI * .

Answer 2

Как уже было сказано, хранить эти данные можно.

Что касается «что нужно и чего не делать», то стоит проверить проект безопасности открытого веб-приложения (owasp.org).,В частности, посмотрите на их руководство OWASP (доступно здесь http://prdownloads.sourceforge.net/owasp/OWASPGuide2.0.1.pdf?download) о том, как разрабатывать безопасные веб-приложения. Они охватывают соответствие PCI и лучшие практики, начиная со стр. 53.

Answer 3

Я бы использовал что-то вроде attr_encrypted gem для защиты этих данных в базе данных (см. https://github.com/shuber/attr_encrypted).