3.3.2
Определенные Требования к Подходу:
Чувствительные данные аутентификации (SAD), хранящиеся в электронной форме до завершения процесса авторизации, должны быть зашифрованы с использованием сильной криптографии.
Цель Индивидуального подхода:
Это требование не подходит для индивидуального подхода.
Примечания по применению:
Тот факт, что хранение SAD до авторизации разрешено, определяется организациями, управляющими программами соблюдения стандартов (например, платёжными брендами и эквайерами). Для получения дополнительных критериев обратитесь в эти организации.
Это требование применяется ко всем хранилищам SAD, даже если PAN отсутствует в среде.
Смотрите Требование 3.2.1 для дополнительного требования, которое применяется, если SAD хранятся до завершения авторизации.
Эмитенты и компании, поддерживающие эмиссионные услуги, где существует законная и документированная бизнес-необходимость для хранения SAD, не обязаны выполнять это требование. Законная бизнес-необходимость — это необходимость для выполнения функции, предоставляемой эмитентом или для эмитента.
Смотрите Требование 3.3.3 для требований, специально предназначенных для этих организаций.
Это требование не заменяет требования по управлению блоками PIN, и оно не означает, что правильно зашифрованный блок PIN нужно зашифровывать снова.
Это требование является хорошей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью учтено в процессе оценки по стандарту PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 3.3.2 Изучите хранилища данных, конфигурации системы и/или документацию поставщика, чтобы убедиться, что все SAD, хранящиеся в электронной форме до завершения процесса авторизации, зашифрованы с использованием сильной криптографии.
Цель:
SAD могут быть использованы злоумышленниками для увеличения вероятности успешного создания поддельных платежных карт и совершения мошеннических транзакций.
Надлежащая практика:
Организациям следует рассмотреть возможность шифрования SAD с использованием криптографического ключа, отличного от ключа, используемого для шифрования PAN. Обратите внимание, что это не означает, что PAN, присутствующий в SAD (как часть данных трека), должен быть зашифрован отдельно.
Определения:
Процесс авторизации считается завершенным, когда продавец получает ответ по транзакции (например, одобрение или отклонение).