八位数的BIN命令以及它如何影响PAN PCI DSS合规性

阅读时间:4分钟

分享:

在facebook上分享
在twitter上分享
分享在linkedin

国际标准化组织(ISO)和国际电工委员会(IEC)联合称为ISO/IEC JTC1发布了该标准ISO / IEC 7812 - 1”,识别卡。发行者的识别。第1部分:号码系统”在2017年。该标准将发行者识别号(IIN)的长度从6位修改为8位,IIN也被信用卡品牌称为银行识别号(BIN)。从2022年4月起,将只分配8位的iin /BINs,并继续支持现有的6位iin /BINs。IIN/BIN是支付卡主账号(PAN)的开始部分,在处理支付卡交易时用来识别发卡机构。增加IIN/BIN长度的目的是为了满足对支付卡的需求以及与需求增加相关的可用IIN/BIN的预期消耗。

PCI DSS合规性要求

支付卡行业安全标准委员会(PCI SSC) PCI数据安全标准(PCI DSS)要求以下有关盘的存储和显示:

  • PCI DSS要求3.3:显示时要屏蔽PAN(前6位和后4位为最大显示位数),只有有合法业务需要的人才能看到PAN的前6位/后4位以上。
  • PCI DSS要求3.4:使用以下任何一种方法将PAN渲染为不可读的存储位置(包括便携式数字媒体、备份媒体和日志):
    • 基于强密码学的单向散列(散列必须是整个PAN的)。
    • 截断(散列不能用来替换PAN的截断段)。
    • 索引令牌和垫(垫必须安全存储)。
    • 具有相关密钥管理过程和过程的强密码技术。

注意:如果恶意个人能够访问截短版和散列版PAN,那么重建原始PAN数据是一项相对简单的工作。如果在实体的环境中存在同一个PAN的散列和截断版本,则必须设置额外的控制,以确保散列和截断版本不能关联以重构原始PAN。

平移截尾规则

一种总线标准SSC为可接受的格式提供指导在的盘的截断PCI SSC FAQ 1091,日期2018年4月。本指南规定了删除16位PAN至少6位,以及删除15位PAN至少5位的要求。采用8位的iin /BINs并没有改变PCI SSC关于存储该数据时必须从PAN中删除的位数的观点。

PCI SSC认识到,一些实体可能有业务驱动,需要灵活性来满足只保留PAN的前6位和后4位数字的要求。FAQ 1091中也提供了关于哪些数字必须删除的可接受变化的指导。应该注意的是,考虑到重建的风险增加时存在的满锅的数量减少数字存储盘时,删除实体希望/ BIN除了存储完整的八位的射程的最后四位数盘将无法依靠截断作为唯一的保护这些数据。至少需要使用一种或多种额外的方法来保护增加的数据存储,例如加密、散列或标记

关于PCI DSS合规性,你有任何问题吗与我们的合格安全评估人员(QSAs)联系我们很乐意帮忙。

本出版物只包含一般信息,Sikich不通过本出版物提供会计、商业、金融、投资、法律、税务或任何其他专业建议或服务。本出版物不能替代此类专业建议或服务,您也不应将其作为可能影响您或您业务的任何决定、行动或遗漏的依据。在作出任何决定、采取任何行动或忽略任何可能影响您或您的业务的行动之前,您应咨询一位合格的专业顾问。您承认Sikich不对您或任何依赖本出版物的人所遭受的任何损失负责。

注册的见解188bet188asia

加入14,000多名企业高管和决策者

即将来临的事件

最新的见解188bet188asia

关于作者