プライマリアカウント番号(PAN)を保存する際のPCI DSS要件対応方法について

仕事でPCI DSSに対応しなくちゃいけなくて、少しづつ読み進めてる。

今回はプライマリアカウント番号(Primary Account Number →PAN)について

 

プライマリアカウント番号は、カード番号や、顧客番号など

カード会員を一意に特定できる番号のこと。

 

==PCI DSS要件3.4==

以下のいずれかの手法を使用して、すべての保存場所で PAN を少なくとも読み取り不能にする (ポータブルデジタルメディア、バックアップメディア、ログを含む)。

・ 強力な暗号化技術をベースにしたワンウェイハッシュ(PAN 全体をハッシュする必要がある)

・ トランケーション(PAN の切り捨てられたセグメントの置き換えにはハッシュを使用できない)

・ インデックストークンとパッド(パッドは安全に保存する必要がある)

・ 関連する鍵管理プロセスおよび手順を伴う、強力な暗号化

 

:悪意のある個人がトランケーションされたPANとハッシュ化されたPANの両方を取得した場合、 元のPANを容易に再現することができます。 ハッシュ化およびトランケーションされた PAN の同じバージョンが事業体の環境に存在する場合、 元の PAN を再構築するために、ハッシュ化およびトランケーションされたバージョンを 関連付けることはできないことを確実にする追加コントロールを導入する必要があります。

 

カード会員データはできる限り保存しないことが望ましく、 どうしても保存しなくてはいけないときには、判読可能な状態で保存しなければならない。 判読可能な状態で保存する一つの方法として、ワンウエイハッシュ機能で行う。

 

ワンウェイハッシュとは、入力値をハッシュ化するが、元に戻すことができない。