ob2*_*213 5 sql-server-2012 transaction-log
PCI 数据安全标准https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf 禁止在交易日志中存储信用卡信息
3.2.1 对于系统组件的样本,检查数据来源,包括但不限于以下内容,并验证卡背面磁条的任何磁道或芯片上的等效数据的完整内容未存储在任何情况:传入的交易数据
任何对日志或日志备份文件具有读取权限的人都可以读取 CC 编号吗?它没有明确的文本。不过,是否有可能对其进行描述?限制用户访问日志和日志备份文件就足够了吗?
这意味着文本日志,例如来自 Log4net 的日志。
不是数据库重做/撤消/事务文件
为什么?
PCI 规定,信用卡号码 (PAN) 应以加密方式发送并存储在数据库中,这意味着只有加密值才会出现在任何数据库日志文件中(无论是错误日志还是实际的重做/撤消/事务日志文件)。请参阅文档第 8 页和第 3.4 项。
根据@Shark的观察进行编辑