Security 符合PCI的将加密密码(和密码)移动到新服务器/数据库的方法
我们正在从托管的电子商务平台迁移出去,需要迁移50000多名客户,最好保持他们的密码完整 我向我们当前的主机索取客户数据(包括加密密码和密码),但他们拒绝说这违反了PCI合规性 在遵守PCI最佳实践的同时,您将如何向第二方提供这些数据Security 符合PCI的将加密密码(和密码)移动到新服务器/数据库的方法,security,ssl,pci-compliance,pci-dss,Security,Ssl,Pci Compliance,Pci Dss,我们正在从托管的电子商务平台迁移出去,需要迁移50000多名客户,最好保持他们的密码完整 我向我们当前的主机索取客户数据(包括加密密码和密码),但他们拒绝说这违反了PCI合规性 在遵守PCI最佳实践的同时,您将如何向第二方提供这些数据 我已尝试搜索,但找不到此用例的相关信息或PCI文档。如果您有权访问受保护的数据,PCI-DSS不会禁止传输受保护的数据。但是,对于数据传输方式有严格的监管政策。我没有关于实际版本的所有细节,但您可能会在这里找到一些启示:欢迎您。我搜索了我的旧文档链接(我已经有一段
我已尝试搜索,但找不到此用例的相关信息或PCI文档。如果您有权访问受保护的数据,PCI-DSS不会禁止传输受保护的数据。但是,对于数据传输方式有严格的监管政策。我没有关于实际版本的所有细节,但您可能会在这里找到一些启示:欢迎您。我搜索了我的旧文档链接(我已经有一段时间没有使用它了),发现了一些可能有用的东西:你真的在传输加密的卡号吗?-如果不是的话,很难理解为什么您传输的数据完全在PCI的范围内。如果您想要的数据是使用同样用于加密卡号的密钥加密的,那么只需将非PCI数据导出为纯文本&recencrypt。@Alex K。这是不正确的。持卡人数据和卡号均在PCI-DSS范围内。但是关于密钥,你是对的。我的意思是,如果没有PAN,它就不是持卡人数据-这是具体的定义,我可以从PCI环境导出数据,只要没有PAN,转储就超出范围。(假设您不是淘气的,并存储CVC/完整轨迹数据)