I forbindelse med at jeg har fået en opgave for en stor kunde i USA, så har jeg behov for at finde ud af noget om PCI complience. PCI (Payment Card Industry) har krævet at de fremover skal opfylde sikkerhedsreglerne som beskrevet af PCI. I den sammenhænge betyder det at de ikke længere må gemme det kreditkort informationer i databasen (med mindre de lever op til en masse ret omfattende fysiske sikkerhedskrav også). Istedet skal man benytte en partner der håndtere dette. Jeg ved at man ikke må gemme kreditkort informationerne direkte i sin database, men kun en "token" der henviser til det kreditkort man har brugt sidst. Mit spørgsmål er dog nu, hvis man kun gemmer det trunkatede kreditkortnr. (dvs. forkortede nummer f.eks. xxxx xxxx xxxx 1234), samt kortnavn og udløb (da det herved er let for ens kunde at identificere om det kort man har er det rigtige når de skal bestille næste gang), opfylde man så kravet om ikke at gemme disse informationer? |
Hej Erik,
Jeg har været igennem et audit fra ForteConsult, som "håndhæver" PCI kravene i danmark, på en løsning jeg var med til at udvikle for nogle år siden.
Du kan finde mere info (spec osv.) HER
Mvh / Lars Borup Jensen