marzo 2013 Modifica:
Una risorsa molto pertinente è il PCI Security Standards Council, un'organizzazione fondata nel 2006 da cinque dei più grandi marchi della carta di credito globale (AmEx, Visa, MasterCard, JCB International e Discovery) e che è l'autorità de facto in materia di sicurezza per l'industria delle carte di pagamento (PCI).
Questa organizzazione pubblica in particolare lo PCI Data Security Standard, attualmente nella sua versione 2.0, che copre questioni come la gestione di numeri di carte di credito completi o parziali.Questo documento è disponibile gratuitamente ma richiede una semplice registrazione e il riconoscimento dei termini della licenza.
Quanto segue è l'originale, c. Risposta 2009, per lo più corretta ma apocrifa.
Una pratica comune (legale o no che non conosca) è di memorizzare le ultime 4 cifre, in quanto ciò può essere utilizzato per aiutare il cliente a confermare quale delle sue carte di credito sono state utilizzate per una particolare transazione.
Senza migliorare significativamente le probabilità di una persona malintenzionata che indovina il numero completo, è possibile memorizzare le prime 4 cifre s che sono rappresentative dell'istituto finanziario che ha emesso la carta, come indicato nella domanda.
non lo fanno, salvare molte più cifre di questi 8 cifre perché altrimenti, data la LUHN-10 checksum, l'utente possa fornire abbastanza informazioni per fare indovinare il numero completo più plausibile (se ancora relativamente difficile, anche con una visione della serie utilizzata da un determinato emittente, in un dato periodo di tempo, ma bisogna stare attenti ...)
per rendere questa cosa più sicuro, tecnicamente e giuridicamente, si può considerare solo la memorizzazione di tali informazioni se il cliente consente esplicitamente . Si dovrebbe anche considerare di mascherare queste informazioni con un semplice hash per la memorizzazione nel database.
Inoltre, ciò che è possibile/deve memorizzare in seguito a una determinata transazione, è l'ID transazione fornito dall'elaboratore della carta di credito, al momento dell'invio del transacton. Questo ID è la chiave che consente di localizzare la maggior parte (tutte?) Delle informazioni che avresti anche bisogno, se ci fosse qualche problema con una particolare transazione. In genere questo tipo di informazioni può essere interrogato da un sito Web protetto gestito dalla società di elaborazione, insieme ad alcuni rapporti aggregati che possono includere un raggruppamento per tipo di carta (Amex, Visa ...) se è per questo che stai pensando di archiviare i primi quattro.
Le ultime 4 cifre devono essere ok. Ma controlla le possibili domande doppie che ho aggiunto. – Shoban