クレジットカード番号の下4桁を保存するための最小要件は？

カード所有者名、CC番号の最後の4桁、およびその有効期限はすべて[〜＃〜] [〜＃〜]機密データではありません。カード所有者名と有効期限は、完全なプライマリアカウント番号を使用して保存し、切り捨てられた4桁の番号ではない場合にのみ保護が必要です。

カード会員データを保存、処理、または送信する場合、kaushalが言及する他のすべてのPCI DSS要件を満たす必要がありますが、リストしたアイテムについては何もする必要はありませんそれらを保護するために特別。

これの詳細については、PCIの7ページと8ページを参照してくださいDSS： https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

特定の支払い製品は、PCIコンプライアンスの負担を支払いサービスプロバイダー（Authorize.NETまたはPaypal Pro）に転送します。ただし、注文を完了するには、消費者を支払いプロバイダーのサーバーに転送する必要があります。 WebサイトがAPIを介してAuthorize.NETと統合されている場合、サーバーが最初にクレジットカードデータをキャプチャして送信するため、PCIコンプライアンスの責任は引き続きあります。

PCI-DSSガイドの要件3であるProtect Cardholder Dataに注意を払うことが重要です。

PCI-DSS https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf によると、

発行サービスまたは発行サービスをサポートする会社でない限り、セクション3.2は、暗号化されていても機密データを保存できないことを明確に説明しています。

ただし、通常の業務において機密データを保持する場合は、次のことを行います定義されたデータ保持および破棄ポリシーが必要セクション3.1で説明されているように、.

また、セクション3.3に従って表示時に機密データをマスクするも必要です。

また、セクション3.4で説明されているように、保存された機密データを読み取り不可能にするにする必要があります。

編集：

PCI-DSSドキュメントに記載されている要件3.2およびサブ要件3.2.1により、ストレージ/送信の機密データincludes 1）カード番号2）カード所有者名3）有効期限4 ）サービスコード

7ページと8ページでは、PAN=はPCI-DSSの適用性を定義しています。

IMO、不在の完全なパンは、PCI-DSSの適用性を解消します。上記の答えに同意します。

したがって、この場合、このデータをクレジットカード番号の最初の6桁または最後の4桁、あるいはその両方と一緒に保存すると、PCI-DSSは適用されません。