PCI 数据安全标准https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf 禁止在交易日志中存储信用卡信息
3.2.1 对于系统组件样本,检查数据源,包括但不限于以下,并验证卡背面磁条或芯片上等效数据的任何磁道的全部内容未存储在任何情况:传入交易数据
- 所有日志(例如,事务、历史、调试、错误)
- 历史文件
- 跟踪文件
- 几种数据库模式
- 数据库内容
任何对日志或日志备份文件具有读取权限的人都可以读取 CC 编号吗?它不是明文形式。不过,有可能描述它吗?限制用户访问日志和日志备份文件就足够了吗?
这意味着文本日志,例如来自 Log4net 的日志。
不是数据库重做/撤消/事务文件
为什么?
PCI 表示信用卡号 (PAN) 应该以加密形式发送并存储在数据库中,这意味着只有加密值才会出现在任何数据库日志文件中(无论是错误日志还是实际的重做/撤消/事务日志文件)。有关此信息,请参阅第 8 页和文档的第 3.4 项。
编辑,在@Shark 的观察之后