PCI-DSS является довольно сложным, но вкратце: большинство правил, которым необходимо следовать Regard обработку и хранение бэкэнд. Один из пунктов, касающихся интерфейса является требование 3,3:
Mask PAN при отображении (первые шесть и последние четыре цифры являются максимальное количество цифр вы можете отобразить), так что только авторизованные людей с законным бизнес-потребность может увидеть больше, чем первые шесть/последние четыре цифры PAN. Это не отменяет более строгие требования, предъявляемые к показателям данных держателя карты, , например, по квитанции о продаже.
Но я думаю, что это плохая идея сделать это на стороне интерфейса. Лучше отправить уже замаскированные данные во внешний интерфейс, так как все на клиентском столе можно манипулировать (например, вы замаскируете номер карты через javascript, но в источнике страницы будет найдено целое число).
И конечно reuirement 4:
4.1 Используйте надежные криптографические алгоритмы и протоколы для сохранения конфиденциальных данных о держателях карт при передаче по открытым, общедоступным сети (например, Интернет, беспроводные технологии, мобильные технологии, General Packet Radio Служба [GPRS], спутниковая связь). Обеспечьте, чтобы беспроводные сети передавали данные держателя карты или подключались к среде данных владельцев карт , применяя отраслевые рекомендации по внедрению надежное шифрование для аутентификации и передачи. (Где SSL/начале TLS используется, требования в PCI DSS Приложение А2 должно быть завершено.)
4,2 Никогда не отправлять незащищенные персональную сеть от конечных технологий пользователя обмена сообщениями (например, электронная почта, мгновенный обмен сообщениями, SMS, чат и т. д.).
4.3 Убедитесь, что связанные с ней политики безопасности и рабочие процедуры документированы, используются и известны всем затронутым сторонам.
Обязательно использовать сильнодействующий транспортный уровень encrpytion (TLS 1.2) и разрешить только безопасные шифры, так что данные, передаваемые из вашего интерфейса в бэкэнд не может быть прочитан кем-то прослушивает сеть. Вы должны знать, что все меры защиты на стороне интерфейса могут быть подорваны грязным компьютером, что означает компьютер, зараженный троянами и другими вредоносными программами. Это в основном покрывается требованием 5.
5.1 Развертывание антивирусного программного обеспечения на всех системах, на которые обычно распространяется вредоносное ПО (в частности, персональные компьютеры и серверы).Для систем , которые обычно не затрагиваются вредоносным программным обеспечением, выполняют периодические оценки для оценки возникающих угроз вредоносного ПО и подтверждают, что такие системы по-прежнему не требуют антивирусного программного обеспечения.
5.2 Убедитесь, что все антивирусные механизмы сохранены в актуальном состоянии, выполняют периодические проверки, создают журналы аудита, которые сохраняются на PCI DSS Требование 10.7.
5.3 Убедитесь, что антивирусные механизмы активно работают и не могут быть отключены или изменены пользователями, за исключением случаев, когда они специально разрешены администрацией в каждом конкретном случае в течение ограниченного периода времени.
5.4 Обеспечить, чтобы связанные с безопасностью политики и рабочие процедуры были документированы, использованы и известны всем затронутым сторонам.
И в конце концов: убедитесь, что ваше приложение задумано, поскольку это требуется.
Поговорите с инженером-охранником и юристом вашей компании. – zerkms