PCI/DSS：静态数据

Question

您会考虑在静态数据类别中使用缓存产品吗？

Answer 1

是的。 无论产品是什么，只要它存储、处理或传输支付卡数据，那么它就属于 PCI-DSS 的范围。

话虽如此，如果您的缓存设备仅存储加密数据并且无法访问用于解密的任何密钥，那么您应该能够同意您的 QSA 的意见，即它超出了您的评估范围。

如果它确实处​​理未加密的支付卡数据，或者它有权访问解密密钥，那么您将必须至少为缓存设备实施 PCI-DSS 控制的一个子集。

Answer 2

这是一个复杂的问题，但任何保存超过 24 小时的内容都被视为“存储”，并且卡数据的处理方式受到严格控制 - 例如，没有 CV2。

但数据也必须在前往卡交易的途中，而不是在交易后的返回路径中。

您可能需要讨论您的具体示例，以及您关心的卡数据的哪些位与 QSA 的确切用途

Answer 3

同意这很复杂，但根据我的理解，您可以从 PCI-DSS 中借鉴几个原则：

1. 持卡人数据在通过开放网络传输时必须加密。 因此，如果您有本地缓存​​，并且缓存中的数据要通过开放网络传输，那么这就是您必须解决的问题。
2. 只存储您需要的内容。 如果您不需要持卡人数据的某些部分，包括 CV2、过期时间，则不要存储它，即使它存储在不能被视为静态数据的位置。

在我看来，如果您的缓存存储持卡人数据，则它违反了标准。 与数据存储（以及其他）相关的目的是将存储、使用、传输限制在敏感数据实际需要的地方。 如果没有您提供有关缓存内容的更多详细信息，我无法想象为什么您需要缓存敏感数据。

我当然同意 Cheekysoft 先生的观点，即您应该开诚布公地与您的 QSA 讨论，因为我相信他/她一旦了解细节将能够为您提供一些指导。