PCI-DSS

 

Lo standard PCI DSS v2.0, tra i diversi requirements richiesti per la conformità, al punto 2.3 impone di rendere illeggibile il PAN ovunque questo sia memorizzato (inclusi backup, dispositivi portatili, ecc.). Lo standard stesso indica quali siano i metodi percorribili.

Tra questi assume particolare interesse la Tokenization, ossia la sostituzione del numero di carta di credito con un valore univoco generato in maniera casuale.

L’interesse è suscitato dal fatto che la tokenization, oltre a rispondere al requisito 2.3, riduce efficacemente il perimetro di applicazione dello standard e, di conseguenza, i costi per la compliance.

I sistemi in cui il PAN è rimpiazzato dal token possono, infatti, ritenersi fuori “scope”, perché non possiedono più l’elemento fondamentale su cui si basa la definizione di “Cardholder Data Environment” (cioè l’ambiente dei dati dei titolari di carta di credito).