3.4.1
Определенные Требования к Подходу:
При отображении PAN маскируется (ячейка и последние четыре цифры - это максимальное количество отображаемых цифр), так что только персонал с законными деловыми потребностями может видеть больше, чем ячейка и последние четыре цифры PAN.

Цель Индивидуального подхода:
PAN отображается минимальным количеством цифр, необходимым для удовлетворения определенных бизнес-потребностей.

Примечания по применению:
Это требование не отменяет более строгих требований, предъявляемых к отображению данных о держателях карт, например, юридических требований или требований к платежным маркам для чеков в точках продаж (POS).
Это требование относится к защите PAN, когда он отображается на экранах, бумажных квитанциях, распечатках и т.д., И его не следует путать с требованием 3.5.1 о защите PAN при хранении, обработке или передаче.

Определенные Процедуры Тестирования Подхода:

Цель:
Отображение полной информации на экранах компьютеров, квитанциях по платежным картам, бумажных отчетах и т.д. может привести к получению этих данных неуполномоченными лицами и их мошенническому использованию. Обеспечение того, чтобы полный PAN отображался только для тех, у кого есть законные деловые потребности, сводит к минимуму риск получения доступа к данным PAN посторонними лицами.

Надлежащая практика:
Применение элементов управления доступом в соответствии с определенными ролями - это один из способов ограничить доступ к просмотру полной панорамы только для тех пользователей, у которых есть определенные бизнес-потребности.
Подход маскирования всегда должен отображать только количество цифр, необходимое для выполнения определенной бизнес-функции. Например, если для выполнения бизнес-функции необходимы только последние четыре цифры, PAN следует замаскировать, чтобы показывать только последние четыре цифры. В качестве другого примера, если функции необходимо просмотреть идентификационный номер банка (BIN) для целей маршрутизации, снимите маску только с цифр BIN для этой функции.

Определения:
Маскировка не является синонимом усечения, и эти термины не могут использоваться взаимозаменяемо. Маскирование относится к сокрытию определенных цифр во время отображения или печати, даже если в системе хранится вся панорама целиком. Это отличается от усечения, при котором усеченные цифры удаляются и не могут быть восстановлены в системе. Замаскированный PAN может быть “разоблачен”, но нет никакого "удаления усечения" без воссоздания PAN из другого источника.

Дополнительная информация:
Для получения дополнительной информации о маскировании и усечении см. Часто задаваемые вопросы PCI SSC по этим темам.

3.4.2
Определенные Требования к Подходу:
При использовании технологий удаленного доступа технические средства управления предотвращают копирование и/или перемещение PAN для всего персонала, за исключением тех, кто имеет документированное, явное разрешение и законную, четко определенную бизнес-потребность.

Цель Индивидуального подхода:
PAN не может быть скопирован или перемещен неавторизованным персоналом с использованием технологий удаленного доступа.

Примечания по применению:
Хранение или перемещение PAN на локальные жесткие диски, съемные электронные носители и другие устройства хранения включает эти устройства в область применения PCI DSS.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Цель:
Перемещение PAN на несанкционированные устройства хранения — это распространенный способ получения и мошеннического использования этих данных.
Методы, гарантирующие, что только те, кто имеет явное разрешение и законную бизнес-потребность, могут копировать или перемещать PAN, минимизируют риск того, что неавторизованные лица получат доступ к PAN.

Надлежащая практика:
Копирование и перемещение PAN должно осуществляться только на устройства хранения, которые разрешены и авторизованы для данного сотрудника.

Определения:
Виртуальный рабочий стол — пример технологии удаленного доступа. Такие технологии удаленного доступа часто включают инструменты для отключения функциональности копирования и/или перемещения.
Устройства хранения включают, но не ограничиваются локальными жесткими дисками, виртуальными дисками, съемными электронными носителями, сетевыми дисками и облачным хранилищем.

Дополнительная информация:
Документация поставщика используемой технологии удаленного доступа предоставит информацию о настройках системы, необходимых для реализации этого требования.