Skip to content
インタ―システムズ製品やソリューション、キャリアの機会などについて、検索してご覧ください。

Using InterSystems IRIS Data Platform for Securely Storing Credit Card Data

Introduction

An ever-increasing number of purchases and payments are being made by credit card. Although merchants and service providers that accept credit cards have an obligation to protect customers’ sensitive information, the software solutions they use may not support best practices for securing credit card information. To help combat this issue, a security standard for credit card information has been developed and is being widely adopted.

The Payment Card Industry (PCI) Data Security Standard (DSS) is set of guidelines for securely handling credit card information. Among its provisions are recommendations for storing customer information in a database. This document outlines how software vendors can take advantage of InterSystems IRIS Data Platform™ to comply with data storage guidelines within the PCI DSS.

Use Cases for Securing Credit Card Information

The best way to ensure the security of information within a database is not to persist (store) it at all. Enterprises that deal with credit card data must save some information, however, such as the cardholders’ names, Personal Account Numbers (PANs), expiration dates, and service codes. The PCI DSS recommends only persisting the minimum necessary amount of cardholder data. When cardholder data must be stored, the PCI DSS requires that (at a minimum) PANs be rendered unreadable in the database and in all journal logs.

Exactly how PANs are secured may differ according to the use case. In general, use cases fall into one of two categories: when a credit card is being used purely for verification, and when it is being used to pay for goods or services.

Using a Credit Card for Verification

When an application is designed to accept a credit card as a form of identification (for example, when someone uses their card to retrieve a record of their airline reservation) it is not necessary for a useable clear-text PAN to be stored at all. According to the PCI DSS, either hashing or truncation may be used to store a version of the PAN that is sufficient for verification purposes.

  • Hashing
    Information is transformed according to a complex algorithm and only the transformed, or hashed, version is stored. The hashing algorithm only works one way — it is impossible to uniquely determine the original information from the hashed version. For verification purposes, a hashed version of the PAN provided by the cardholder can be compared to the stored hash value.
  • Truncation
    Only a portion of the information is stored. For verification purposes, the PAN provided by the cardholder is truncated in the same way and compared to the stored value. In general, truncation provides weaker security than hashing.

Using a Credit Card for Payments

Applications that accept credit card payments must have access to a usable PAN in order to process a transaction. According to the PCI DSS, there are three acceptable ways of handling PAN information.

  • The PAN is not persisted (stored on disk) at all
    This scenario might occur, for instance, when someone makes a credit card purchase from an online vendor and checks out as a “guest”. The card holder must provide the complete PAN each time they make a purchase. The application will use the PAN in memory, but not persist it. (The PCI DSS includes guidelines for securing PANs and other sensitive information in transit, but that is beyond the scope of this paper.)
  • Truncation
    Only a portion of the PAN is stored. The cardholder must provide the missing information that will allow the application to reassemble the PAN in memory. A useable PAN exists only in memory, not on disk.
  • Encryption
    The PAN is transformed into ciphertext or cleartext according to a complex algorithm, using an encryption key, but only ciphertext is stored. Unlike hashing, encryption allows for two-way transformation. Using the encryption key, the application can decipher the PAN and use it (in memory) to process a credit card transaction.The PCI DSS calls for using “strong” encryption and re-encrypting information periodically. Also, encryption keys must not be stored in, or tied to, user accounts.

How InterSystems IRIS Enables Secure Data Storage

InterSystems IRIS Data Platform offers a strong, consistent, and high-performance security structure for applications.

Here is how InterSystems products enable applications to securely store data such as PANs:

  • Hashing
    InterSystems IRIS provides built-in access to several Secure Hash Algorithms (e.g. SHA-3) to hash data.
  • Truncation
    Fully supported and implemented as part of the application running inside InterSystems IRIS.
  • Data-at-Rest encryption
    InterSystems IRIS implements the Advanced Encryption Standard (AES) algorithm.With data-at-rest encryption, the entire database and pre- and post-image journals are encrypted using one encryption key. Access to the key is managed by the system, so a user account (i.e., a process) does not hold the database encryption key.All information, including indexes, stored in an encrypted database is protected.
  • Data element encryption
    InterSystems IRIS allows for individual pieces of information to be encrypted by offering developers access to the encryption suite. Data element encryption is often preferred to store sensitive information, like PANs, because it allows (with the correct provisioning) the re-encryption of data elements, without interruptions to database access.
  • Auditing
    InterSystems IRIS comes with a robust and tamper-resistant auditing system, which audits all changes to the security model. Application developers can use the same audit database by incorporating calls to the audit system in the application code.

Key Management Within InterSystems IRIS Security Model

Because the PCI DSS is widely used, InterSystems IRIS includes several capabilities specifically designed to make it easier to build applications that comply with the standard. They are mainly concerned with the key management used by data element encryption.

Managed Keys

Encryption key material used for data element encryption is securely held by the system, by storing it in the same protected memory location as the database encryption key. Applications will refer to individual encryption keys using a unique KeyID, therefore eliminating direct access to the key material itself.

To make things easier for developers, when this new method of data element encryption is used, the KeyID is embedded in the resulting ciphertext. This enables the decryption process to automatically identify the key that was used to encrypt the data. The new managed key system supports several such keys in addition to the database encryption key. This will make it easy for application developers to satisfy re-encryption requirements in real time and with virtually no impact to the performance of the deployed application.

Conclusion

The PCI DSS is being adopted by merchants and service providers around the world who need to securely handle credit card information. Application providers need to make sure their solutions are compliant with this standard.

InterSystems IRIS gives developers the ability to build applications that comply with the PCI DSS, and will make that task even easier.

InterSystems is the engine behind the world’s most important applications. In healthcare, finance, government, and other sectors where lives and livelihoods are at stake, InterSystems is the power behind what matters. Founded in 1978, InterSystems is a privately held company headquartered in Cambridge, Massachusetts (USA), with offices worldwide, and its software products are used daily by millions of people in more than 80 countries.

For more information, please contact Andreas Dieckow, Principal Product Manager, InterSystems.com/IRIS.

RELATED TOPICS

あなたが好きかもしれない他のリソース

2025年 4月 19日
IDC Spotlight Report 
サプライチェーンマネジメントと意思決定インテリジェンス・ツールの機能が向上し、複雑な技術とともに、より迅速な変革と長期的なビジネス利益を実現するために、異種データを統合、合成、活用する能力が重視されるようになっています。
2025年 4月 19日
Enterprise Master Person Index
ID管理のための次世代の Enterprise Master Person Index 患者、会員、受益者のシームレスな識別は、医療機関や政府機関全体で効率的な業務を行うために不可欠です。 しかし、断片化されたシステム、一貫性のない識別子、データのギャップは、ワークフローを混乱させ、コストを増加させ、ケアの質とサービス提供を損ない続けています。 否認された医療請求の35%は不正確な患者識別に起因しており¹、合併や系列化が記録の統合をさらに複雑にしています。 単一の情報システム内であっても、重複した記録や重ね合わされた記録は、コストのかかる管理負担を生じさせたり、信頼性の低いデータに基づいて構築されたAIワークフローの正確性を損なったりすることで、非効率やリスクをもたらす可能性があります。 データの完全性を維持し、エラーの連鎖を防ぐために、組織は問題のあるレコードをリアルタイムで検出し、是正措置を発動できなければなりません。
2025年 4月 16日
IDC InfoBrief
急速に進化する今日の医療情勢において、先進的な電子カルテ(EHR)システムの戦略的導入と最適化は、この分野への多大な先行投資にもかかわらず、引き続き最重要課題となっています。 IDC InfoBriefをダウンロード
2025年 4月 16日
DC Market Note
IDC Market Noteのダウンロード
2025年 4月 9日
デジタル フロントドア ソリューション
デジタル フロントドア ソリューション 成功している医療機関(HCO)は、患者エンゲージメントが基本であることを理解しています。 自分の状態や治療の選択肢について十分な情報を得た患者は、より良い決断を下すことが可能です。 患者が医療に積極的に関与できるようにすることで、HCOは患者のアウトカム、満足度、ロイアリティを向上させることができます。
2025年 4月 4日
ARCアドバイザリーグループ報告書
複雑なサプライチェーンプロセスを持つ大企業特有のニーズに対応するため、サプライチェーン・データファブリックの新しいカテゴリーが登場しつつあります。 新しいデータファブリックは、サプライチェーン環境に最適化されていない従来の企業データファブリックを超えるものでなければなりません。 新しいプラットフォームは、複雑なサプライチェーンデータ、リアルタイムのアラート、複雑な意思決定支援のトレードオフを受け入れる必要があります。 企業が迅速なビジネス遂行を真に推進するには、こうしたプラットフォームが必要です。
2025年 4月 4日
InterSystems Supply Chain Orchestrator(インターシステムズ サプライチェーン オーケストレーター)
サプライチェーンにおいて、混乱が起こる前に予測し、起こった際に最適化された方法で対処することは、ゲームチェンジャーになります。 AIを活用した意思決定インテリジェンス・プラットフォームは、混乱発生時時や発生前に最適な対応を行うことができ、予期せぬ事態に備えます。 InterSystems Supply Chain Orchestrator が、想定外の事態に対応するユースケースをご紹介します(動画)。
2025年 4月 2日
リアルワールド データのための FHIR to OMOP クラウド ソリューション
クラウドで提供される オンデマンドアクセスで、安全な患者データに全国からアクセス可能
2025年 3月 20日
サプライチェーン
インターシステムズは、小売業、消費財(CPG)、製造業、ヘルスケア分野のサプライチェーンのお客様を支援しています。 当社ソリューションは、他に類を見ないリアルタイムのオーケストレーションを提供します。
2025年 3月 19日
InterSystems Data Fabric Studio - サプライチェーン
Data Fabric Studioは、正確で一貫性のある信頼性の高いデータへのアクセスを容易にし、サプライチェーン全体にわたって、より良い情報に基づいた意思決定を可能にします。

次のステップへ

ぜひ、お話を聞かせてください。 詳細をご記入の上、送信してください。
*必須項目(英語でご記入ください)
強調表示は必須項目です。
*必須項目(英語でご記入ください)
強調表示は必須項目です。
** ここをチェックすることにより、お客様は、既存及び将来のインターシステムズ製品及びイベントに関するニュース、最新情報及びその他のマーケティング目的のために連絡を受けることに同意するものとします。 また、フォームを送信することで、お客様は、お客様のビジネス連絡先情報が、米国でホストされているが、適用されるデータ保護法に従って維持されている当社のCRMソリューションに入力されることに同意するものとします。