O padrão de segurança de dados PCI https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf proíbe o armazenamento de informações de cartão de crédito no registro de transações
3.2.1 Para obter uma amostra dos componentes do sistema, examine as fontes de dados, incluindo, entre outras, as seguintes, e verifique se o conteúdo completo de qualquer faixa da tarja magnética no verso do cartão ou dados equivalentes em um chip não estão armazenados em qualquer circunstância: entrada de dados de transação
- Todos os logs (por exemplo, transação , histórico, depuração, erro)
- Arquivos de histórico
- Rastrear arquivos
- Vários esquemas de banco de dados
- Conteúdo do banco de dados
Alguém com acesso de leitura ao log ou arquivo de backup de log pode ler o número CC? Não está em um texto claro. Ainda assim, é possível descrevê-lo? É suficiente restringir o acesso do usuário aos arquivos de log e backup de log?
Isso significa logs de texto, como os da Log4net.
Não são arquivos de refazer/desfazer/transação do banco de dados
Por quê?
O PCI diz que os números de cartão de crédito (PAN) devem ser enviados e armazenados como criptografados no banco de dados, o que significa que apenas o valor criptografado aparecerá em qualquer arquivo de log do banco de dados (seja um log de erros ou o arquivo de log de refazer/desfazer/transação real). Veja a página 8 e item 3.4 do seu documento para isso.
Editar, após a observação de @Shark