Co mogę przechowywać lokalnie, będąc nadal zgodnym ze standardem PCI, używając Braintree w Railsach?

Question

Jakie informacje o karcie kredytowej mogę przechowywać w czasie, gdy nadal jestem zgodny z PCI, jeśli polegam na braintree do przetwarzania płatności?

Powodem, dla którego pytam, jest to, że jako prosta optymalizacja, jeśli klient już kupił coś w moim sklepie za pomocą karty kredytowej, mogę pokazać mu ostatnie 4 cyfry ich karty kredytowej i typ karty, bez konieczności wykonywania połączenia API z BrainTree. Będę musiał zadzwonić, jeśli chcą zmienić kartę lub dokonać zakupu, ale na tę jedną stronę, nie zrobiłbym tego.

Pytanie jest, mam prawo do przechowywania:

• 4 ostatnie cyfry numeru karty kredytowej
• i typu karty
• i ewentualne nazwy posiadacza karty

lub gdy czy istnieje lista "nakazów i zakazów" dotyczących zgodności z PCI?

Answer 1

Tak, przechowywanie tych rzeczy jest w porządku.

Zapoznaj się z PCI Quick Reference Guide, aby uzyskać krótki przegląd tego, co powinieneś zrobić.

Answer 2

Jak już powiedziano, można przechowywać te dane.

Jeśli chodzi o "dos i zakaz", warto byłoby zapoznać się z projektem Open Web Application Security Project (owasp.org). W szczególności spójrz na ich przewodnik OWASP (dostępny tutaj: http://prdownloads.sourceforge.net/owasp/OWASPGuide2.0.1.pdf?download) na temat tworzenia bezpiecznych aplikacji internetowych. Obejmują one zgodność ze standardami PCI i najlepsze praktyki począwszy od strony 53.

Answer 3

Użyłbym czegoś takiego jak attr_encrypted gem, aby chronić dane w bazie danych (patrz https://github.com/shuber/attr_encrypted).