PCI DSS v3.1的相关章节如下：

3.2 授权后不要存储敏感的认证数据（即使是加密的）。

但是，如果

• 有商业理由和
• 数据被安全地存储。

还

3.2.1 授权后，请勿存储任何磁道的全部内容（来自卡背面的磁条、芯片上包含的等效数据或其他地方）。该数据也称为全磁道、磁道、磁道 1、磁道 2 和磁条数据。

但是，在 auth 之后存储 CSV 是完全不行的：

3.2.2 授权后请勿存储卡验证码或值（印在支付卡正面或背面用于验证无卡交易的三位或四位数字）。

关于卡号本身的显示，显示前六位和后四位即可：

3.3 显示时屏蔽 PAN（前六位和后四位是要显示的最大位数），以便只有具有合法业务需求的人员才能看到完整的 PAN。

要求三（3.4.1 到 3.7）的其余部分描述了如何存储卡数据。总而言之，您必须使用行业标准公认的加密协议对其进行加密存储。全盘加密是可以接受的。然后归结为密钥管理。这是棘手的部分。PCI DSS 的关键是记录它是如何工作的以及它如何满足这些要求。

有一些符合 PCI 标准的方法来存储信用卡数据以供以后离线手动处理：卡数据“减半”（也许）；具有适当密钥管理的强加密（当然）。

这真的是合法的做法吗？如果商家证明它是并且可以在需要时验证对 PCI QSA 的合规性，那么它就是。如果您在网络上处理持卡人数据 (CHD)，则您完全负责保护该 CHD 以保持 PCI 合规性。虽然这些方法可以合规，但持续合规管理总是伴随着努力和成本：季度扫描、现场审计（如果处理一定量）、报告、定期渗透测试等。

但是，如果您和您的客户的目标是通过不处理任何 CHD 来节省交易费用，并减少 PCI 范围、相关的 CHD 处理责任和相关成本，那么您应该考虑符合 PCI 的标记化和存储服务提供商.

Auric或SecureNet等令牌化和安全存储服务提供商专门为您的场景等实施提供 CHD 的安全存储。这些符合 PCI 标准的提供商提供将敏感的 CHD 数据存储在安全的“保险库”中，使其完全远离您的环境，同时为以后的处理提供安全访问。他们提供集成方法，例如使用简单 HTTPS 帖子的 Web 服务 API，或在托管支付页面上嵌入 iframe，以将您的支付页面链接到他们的服务。

定价差异很大，但例如 Auric 保险库服务收费 0.10 美元/令牌/月。每月存储 1000 个信用卡代币将花费 100.00 美元

如果架构合理，这种方法可以显着减少您的 PCI 范围和成本。使用经过 PCI DSS 验证的服务提供商来托管和标记 CHD 可以将您的大部分 PCI 合规性负担转移到已经经过验证的第 3 方。

根据 PCI DSS 合规性，禁止直接存储 T1 数据。因此，数据屏蔽解决方案可用于屏蔽卡数据并临时存储 T1 数据。此外，将使用此屏蔽数据的系统应在 PCI 合规性的 T2 范围内考虑。与其分割卡号标记化是更好的解决方案。由于它最大限度地减少了风险管理，并且还可以使用合适的 PKI，最好使用 2048 位密钥长度来安全地存储此令牌。