我们的应用程序需要通过 FTP 接口(interface)从外部系统处理包含信用卡信息(假设信用卡号)的文件。这是一个平面文件(文本)。我们需要根据一些业务规则处理数据,然后需要通过 FTP 接口(interface)将其转发到另一个外部系统。同样,我们的应用程序需要保留入站文件和出站文件的副本。
那么,为了遵守 PCI-DSS 指南,使用 GnuGP 加密文件就足够了,还是我们需要单独加密数据元素(如 CC 号),然后再加密文件?
感谢和问候, 桑
最佳答案
不幸的是,加密数据并没有将其从 PCI 范围中删除,并且对缓解 PCI 合规性要求的作用相对较小。如果您不是处理交易的人(也就是说,您不是拥有商家帐户的人),那么 PCI 合规性不是您的问题,但在这种情况下,无论您的哪个业务合作伙伴(您的合作伙伴)从中获取数据,或将其发送到?)可能不合规,因为您存储了卡号,因此落入其范围内。
关于java - 关于 PCI-DSS 合规性 - 文件加密,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28008988/