de marzo de 2013 Edición:
Un recurso muy pertinente es la PCI Security Standards Council, una organización fundada en 2006 por cinco de las más grandes marcas de tarjetas de crédito mundial (Amex, Visa, MasterCard, JCB International y Discovery) y que es la autoridad de facto en cuestiones de seguridad para la industria de tarjetas de pago (PCI).
Esta organización publica en particular el PCI Data Security Standard, actualmente en su versión 2.0 edición que cubre cuestiones tales como la gestión de números de tarjeta de crédito completos o parciales.Este documento está disponible libremente, pero requiere un simple registro y reconocimiento de los términos de la licencia.
El siguiente es el original, c. Respuesta de 2009, en su mayoría correcta pero apócrifa.
Una práctica común (ya sea legal o no, no) es almacenar los últimos 4 dígitos, ya que esto puede usarse para ayudar al cliente a confirmar cuál de sus tarjetas de crédito se utilizó para una transacción en particular.
Sin mejorar significativamente las probabilidades de que una persona malintencionada adivine el número completo, uno puede almacenar los primeros 4 dígitos s que son representativos de la institución financiera que emitió la tarjeta, como se menciona en la pregunta.
no lo hace, guardar muchos más dígitos de los que estos 8 dígitos porque de lo contrario, dada la LUHN-10 checksum, puede proporcionar suficiente información para hacer adivinar el número completo más plausible (si todavía está relativamente duro, incluso con conocimientos a partir de las series utilizadas por un emisor determinado, en un período de tiempo dado, pero se debe tener cuidado ...)
Para que todo esto sea más seguro, técnica y legalmente, puede considerar solo almacenar dicha información si el cliente lo permite explícitamente . También debe considerar enmascarar esta información con un hash simple para almacenar en la base de datos.
Además, lo que puede/debe almacenar después de una transacción en particular, es el ID de transacción suministrada por el procesador de la tarjeta de crédito, en el momento de presentación de la transación. Esta identificación es la clave que permite ubicar la mayoría (¿todos?) De la información que incluso necesitaría, ¿habría algún problema con una transacción en particular? Este tipo de información generalmente se puede consultar desde un sitio web seguro mantenido por la empresa de procesamiento, junto con algunos informes agregados que pueden incluir una agrupación por tipo de tarjeta (Amex, Visa ...) si es por eso que está pensando en almacenar los primeros cuatro.
Los últimos 4 dígitos deberían estar bien. Pero verifique las posibles preguntas duplicadas que he agregado. – Shoban