在标记信用卡信息时，标记每个信用卡属性以符合 PCI 是不是有意义？

Posted 2023-02-22

【中文标题】在标记信用卡信息时，标记每个信用卡属性以符合 PCI 是不是有意义？

【英文标题】：When tokenizing credit card information, does it make sense tokenize every credit card attribute in order to be PCI compliant?在标记信用卡信息时，标记每个信用卡属性以符合 PCI 是否有意义？

【发布时间】：2020-07-12 13:01:48

【问题描述】：

例如，如果信用卡具有以下属性：

名字 姓氏

信用卡号

CVV 过期

标记只是信用卡号是否足以符合 PCI 标准？

相应地，如果将 ACH 详细信息标记化，详细信息包括：

ACH 路由 ACH 银行名称 ACH

帐号

标记只是 帐号足以符合 PCI 标准吗？

或者，是否每个属性都需要拥有自己的令牌，以便符合 PCI 所需的令牌数量等于属性数量。

【参考方案1】：

ACH 不属于 PCI 合规性（PCI 代表支付卡行业），它有自己的一套规则，您必须遵守 (see NACHA compliance)。

标记化的目的是向所有人隐藏所有信用卡信息，但需要访问它的人除外。然后该令牌用于代表您系统中的卡。

您在加密中可能是什么意思。首先，你不应该存储信用卡信息，如果你需要这样做，你应该使用第三方来这样做。许多支付网关和服务都提供了这种能力，并为您消除了大部分 PCI 合规负担和风险。但是如果你选择将这些数据存储在本地，PCI outlines你可以使用什么加密，什么必须加密：

主帐号 持卡人姓名（如果与帐号一起存储） 到期日期（如果与帐号一起存储）

您也可以在任何情况下不存储 CVV 号码。

【讨论】：

谢谢约翰。我现在得到的信息比我发布问题之前的更多。我非常感谢您在这里的意见和专家的见解。您是否碰巧有任何参考资料支持在任何情况下都不存储 CVV 的想法？

我链接的 PCI 文档在第 2 页明确指出

嗨@jbooker。如果这个或任何答案已经解决了您的问题，请通过单击复选标记考虑accepting it。这向更广泛的社区表明您已经找到了解决方案，并为回答者和您自己提供了一些声誉。没有义务这样做。