要求点变更的说明之第二大类:保护账户数据
要求 3:保护所存储的账户数据
该章节主要求中重申了对于非永久存储位置的账户数据应进行妥善的控制,使用完成后应立即删除。如变为永久存储,应按要求进行加密保护。
要求 3.3.2 增加了对授权完成前的敏感认证数据存储的强加密保护。
要求 3.4.2 限制远程访问时对卡号的拷贝与移动,要求通过技术手段进行限制。
要求 3.5.1.1 增加了对哈希算法中用到的密钥的安全管理要求。
要求 3.7.9 涉及共享密钥时对密钥的指导。
请注意:标准3.3.1-3.3.2 和3.5.1.1 禁止使用定制化验证方法(customized approach)
要求 3:保护所存储的账户数据
该章节主要求中重申了对于非永久存储位置的账户数据应进行妥善的控制,使用完成后应立即删除。如变为永久存储,应按要求进行加密保护。
要求 3.3.2 增加了对授权完成前的敏感认证数据存储的强加密保护。
要求 3.4.2 限制远程访问时对卡号的拷贝与移动,要求通过技术手段进行限制。
要求 3.5.1.1 增加了对哈希算法中用到的密钥的安全管理要求。
要求 3.7.9 涉及共享密钥时对密钥的指导。
请注意:标准3.3.1-3.3.2 和3.5.1.1 禁止使用定制化验证方法(customized approach)