<br><font size=2 face="sans-serif">Hi Ed,</font>
<br>
<br><font size=2 face="sans-serif">        Can
you please clarify what you mean by a 'PCI DSS Level 1 compliance' on an
application? Rather, are you referring to Amazon, as a Service Provider,
is now a Level 1 Service provider, that is, according to Visa, they store,
process and/or transmit more than 300,000 Visa accounts/transactions annually?</font>
<br>
<br><font size=2 face="sans-serif">        Anyway,
with regards to your question on storing PANs on your host, the fist question
to ask is whether you have a legitimate business need to do so. More often
than not, the surprising answer that comes back is 'no'.</font>
<br>
<br><font size=2 face="sans-serif">        However,
if there is a legitimate business need to store then PAN, PCI DSS requirement
3.4 states that you must render the PAN unreadable. For me personally,
I would adopt the following approaches:</font>
<br>
<ul>
<li><font size=2 face="sans-serif">Hashing or tokenization. If this approach
is not feasible, then by</font>
<li><font size=2 face="sans-serif">Truncation. If this approach is not
feasible, then by</font>
<li><font size=2 face="sans-serif">Encryption using strong cryptography.</font></ul>
<br><font size=2 face="sans-serif">        Referring
to the PCI DSS 1.2 Glossary of Terms, Abbreviations, and Acronyms, 'strong
cryptography' is defined as:</font>
<br>
<br><font size=2 face="sans-serif"><i>Cryptography based on industry-tested
and accepted algorithms, along with strong key lengths and proper key-management
practices. Cryptography is a method to protect data and includes both encryption
(which is reversible) and hashing (which is not reversible, or “one way”).
SHA-1 is an example of an industry-tested and accepted hashing algorithm.
Examples of industry-tested and accepted standards and algorithms for encryption
include AES (128 bits and higher), TDES (minimum double-length keys), RSA
(1024 bits and higher), ECC (160 bits and higher), and ElGamal (1024 bits
and higher). See NIST Special Publication 800-57 (http://csrc.nist.gov/publications/)
for more information.</i></font>
<br>
<br><font size=2 face="sans-serif"><i>        </i>In
terms of key management, please refer to PCI DSS Requirements 3.5 and 3.6
for guidance.</font>
<br>
<br><font size=2 face="sans-serif">        Cheers!</font>
<br>
<br><font size=2 face="sans-serif">        Pak-Tjun
Chin</font>
<p><font size=3> </font>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td width=40%><font size=1 face="sans-serif"><b>Ed Bordin <edbordin@gmail.com></b>
</font>
<br><font size=1 face="sans-serif">Sent by: websecurity-bounces@lists.webappsec.org</font>
<p><font size=1 face="sans-serif">07/02/2011 05:13 PM</font>
<td width=59%>
<table width=100%>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">To</font></div>
<td><font size=1 face="sans-serif">websecurity@lists.webappsec.org</font>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">cc</font></div>
<td>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">Subject</font></div>
<td><font size=1 face="sans-serif">[WEB SECURITY] PCI DSS Level 1 - Guidelines
for Storing Credit Card        Details?</font></table>
<br>
<table>
<tr valign=top>
<td>
<td></table>
<br></table>
<br>
<br>
<br><tt><font size=2>We have a web application running on Amazon AWS, which
has recently<br>
been upgraded to PCI DSS Level 1 compliance. We want to take advantage<br>
of this and store credit card numbers on our host, but I'm having<br>
trouble finding any guidelines on best practices. In particular, what<br>
kind of encryption to use when storing the cards in the db, and what<br>
measures to take to keep the encryption key safe. Can anyone help?<br>
<br>
_______________________________________________<br>
The Web Security Mailing List<br>
<br>
WebSecurity RSS Feed<br>
http://www.webappsec.org/rss/websecurity.rss<br>
<br>
Join WASC on LinkedIn http://www.linkedin.com/e/gis/83336/4B20E4374DBA<br>
<br>
WASC on Twitter<br>
http://twitter.com/wascupdates<br>
<br>
websecurity@lists.webappsec.org<br>
http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org<br>
</font></tt>
<br>
<br>
<p style="font-family:verdana;font-size:10">The information contained in this
email communication may be confidential. If you have received this email
in error, please notify the sender by return email, delete this email and
destroy any copy.</p>

<p style="font-family:verdana;font-size:10">Any advice contained in this
email has been prepared without taking into account your objectives,
financial situation or needs. Before acting on any advice in this email,
National Australia Bank Limited (<b>NAB</b>) recommends that you consider
whether it is appropriate for your circumstances. If this email contains
reference to any financial products, NAB recommends you consider the
Product Disclosure Statement (PDS) or other disclosure document available
from NAB, before making any decisions regarding any products.</p>

<p style="font-family:verdana;font-size:10">If this email contains any
promotional content that you do not wish to receive, please reply to the
original sender and write "Don't email promotional material" in the
subject.</p>


<br>