它足够持久，可以被检索。没有理由不加密任何个人身份数据。如果您可以在没有密钥的情况下访问它，那么入侵者也可以。

使其安全，它将是合规的。不要试图通过稍后添加安全性来使其合规。

老实说，合规（通过您的 ROC）并不意味着什么。执行该活动的公司具有不同的技能，并且通常是根据主题公司获得通过的可能性来选择的。这不是您保护公司品牌的方式。

如果您想要上级的弹药，那么马萨诸塞州的隐私法呢？您如何遵守那里的数据要求？欧盟 http://en.wikipedia.org/wiki/Data_Protection_Directive和第三方转让条款呢？

随时随地加密 PII/PAN 数据，设置适当的密钥管理，并使用经过验证的加密系统来执行此操作。明智地保护您的客户数据和公司品牌形象，您将合规。

相关的 PCI-DSS 部分说：

3.4 Render PAN unreadable anywhere it is stored (including on portable digital media, backup media, and in logs) by using any of the following approaches:
* One-way hashes based on strong cryptography (hash must be of the entire PAN)
* Truncation (hashing cannot be used to replace the truncated segment of PAN)
* Index tokens and pads (pads must be securely stored)
* Strong cryptography with associated key-management processes and procedures

https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

在任何地方它存储部分似乎非常清楚-有没有例外，在基于RAM的数据库中存储未加密的PAN数据。

你说你的架构被认为是合规的——如果你有一个 QSA 评估你的环境，这将是一个很好的问题问他。