Le 20/06/2016 à 20h 19

Stockage du PAN en clair est interdit

Extrait de la norme PCI-DSS  
Les PAN stockés sur les supports de stockageprincipal (bases de données ou fichiers platscomme les feuilles de calcul) et autres supportssecondaires (sauvegardes ou journaux d’audit,d’anomalies ou de dépannage) doivent tous êtreprotégés.Les fonctions de hachage unilatéral reposant surune cryptographie robuste peuvent être utiliséespour rendre les données du titulaire illisibles. Cesfonctions de hachage sont appropriées lorsqu’iln’est pas nécessaire de récupérer le numérod’origine (le hachage unilatéral est irréversible). Ilest recommandé, bien que ce ne soit pas unecondition, qu’une valeur supplémentaire aléatoiresoit ajoutée aux données du titulaire avant lehachage pour réduire la possibilité qu’un piratepuisse comparer les données (et découvrir lePAN) à des tableaux de valeurs de hachage pré-calculées.La troncature vise à ne stocker qu’une partieseulement du PAN (sans dépasser les sixpremiers et les quatre derniers chiffres).Un « jeton d’index » est un élémentcryptographique qui remplace le PAN en fonctiond’un indice donné, par une valeur imprévisible. Unpad ponctuel est un système dans lequel une cléprivée, générée de façon aléatoire, est utiliséeune seule fois pour crypter un message, qui estensuite décrypté à l’aide de la clé et du padponctuel correspondant.L’objectif de la cryptographie robuste (selon ladéfinition du Glossaire des termes, abréviations etacronymes PCI DSS et PA-DSS) est de fonder lecryptage sur un algorithme testé et accepté par lesecteur (non pas un algorithme exclusif ou «développé en interne »), avec de robustes cléscryptographiques.En corrélant les versions hachées et tronquéesd’un PAN donné, un individu malveillant peutfacilement reconstituer le PAN d’origine. Descontrôles empêchant la corrélation de cesdonnées permettront de garantir que le PANd’origine reste illisible. 

Le 20/06/2016 à 20h 08

pour info la norme PCI-DSS 3.0 interdit le stockage des “Numéro de compte primaire” et du code de sécurité “CAV2/CVC2/CVV2/CID”

Le 20/06/2016 à 07h 58

Dommage mais la CNIL dit qu’il faut que ce soit cryptés et non hashé

https://www.cnil.fr/fr/un-site-marchand-peut-il-conserver-mes-donnees-bancaires 
Quelles sont les obligations des éditeurs de sites marchands en matière de sécurité et de confidentialité concernant les données bancaires ?La CNIL exige que les données bancaires soient cryptées par l’intermédiaire d’un algorithme de chiffrement dit “fort”. Cela signifie que les données bancaires sont rendues incompréhensibles sauf pour l’éditeur du site internet. L’accès au fichier contenant ces données doit également être restreint au sein du personnel du site internet. Les accès et les liaisons au site marchand doivent être également sécurisés. Cela signifie que l’adresse des pages des formulaires de paiement doit être en https par exemple, ce que vous pouvez vérifier en regardant l’adresse du site.