März 2013 bearbeiten finden:
Eine sehr relevante Ressource ist die PCI Security Standards Council, eine Organisation im Jahr 2006 von fünf der größten globalen Kreditkarte Marken gegründet (AmEx, Visa, Mastercard, JCB International und Discovery) und die De-facto-Autorität in Sicherheitsfragen für die Payment Card Industry (PCI) ist.
Diese Organisation veröffentlicht insbesondere die PCI Data Security Standard, derzeit in der Version 2.0 Ausgabe, die Themen wie die Verwaltung von vollständigen oder teilweisen Kreditkartennummern behandelt.Dieses Dokument ist frei verfügbar, erfordert jedoch eine einfache Registrierung und Bestätigung der Lizenzbedingungen.
Folgendes ist das Original, c. 2009 Antwort, größtenteils korrekt aber apokryph.
Eine gängige Praxis (ob legal oder nicht, weiß ich nicht) ist Speichern Sie die letzten 4 Ziffern, da dies verwendet werden kann, um dem Kunden zu bestätigen, welche seiner Kreditkarten für eine bestimmte Transaktion verwendet wurden.
, ohne die Wahrscheinlichkeit einer bösartigen Person verbessert die vollständige Nummer zu erraten, kann man speichert die ersten 4-stellige s, die von dem Finanzinstitut repräsentativ sind, die die Karte ausgestellt hat, wie in der Frage erwähnt.
nicht, viele mehr Stellen als diese 8 Ziffern speichern, da sonst die LUHN-10 checksumgegeben, können Sie genügend Informationen zur Verfügung stellen, um die vollständige Nummer plausibler zu machen erraten (wenn noch relativ hart, auch mit Einsicht aus der Serie verwendet durch einen bestimmten Emittenten, in einem bestimmten Zeitraum, aber man sollte vorsichtig sein ...)
Um diese Sache technisch und rechtlich sicherer zu machen, können Sie nur solche Informationen speichern, wenn der Kunde es ausdrücklich erlaubt . Sie sollten auch in Betracht ziehen, diese Informationen mit einen einfachen Hash für die Speicherung in der Datenbank zu maskieren.
Auch, was Sie nach einer bestimmten Transaktion speichern können/sollten, ist die Transaktions-ID, die vom Kreditkarten-Prozessor zum Zeitpunkt der Übersendung der Transaktion zur Verfügung gestellt wird. Diese ID ist der Schlüssel, der es ermöglicht, die meisten (alle?) Informationen zu finden, die Sie sogar benötigen würden, wenn es bei einer bestimmten Transaktion ein Problem geben würde. Diese Art von Informationen kann in der Regel von einer sicheren Website, die von der Verarbeitungsfirma verwaltet wird, zusammen mit einigen zusammengefassten Berichten abgefragt werden, die eine Gruppierung nach Kartentyp (Amex, Visa ...) enthalten, wenn Sie deshalb über das Speichern nachdenken die ersten vier.
Die letzten 4 Ziffern sollten in Ordnung sein. Aber überprüfe die möglichen doppelten Fragen, die ich hinzugefügt habe. – Shoban