PCI DSS第三条规则是保护存储数据。

　　从商家接收到用户的信用卡信息的那一刻起，所有的信用卡数据都必须加密。在2007年3月的Visa会议上进行的National Federation of Independent Business/Visa调查中，有些小业主说他们相信他们在保护客户数据方面作的很好，尽管相反的事件经常发生。在保护了客户数据的回答这种，超过25%的人把用户数据记录在不安全的文件中，36%的被调查者在他们的商店中接收信用卡数据。

　　这条要求的最大问题之一是商家必须准确地知道信用卡数据是从哪里开始流出的、在网络的哪些部分移动和停留的以及在网络上时的状态。这就是识别并检查所有的桌上电脑、笔记本电脑、服务器和处理持卡人所有信息的数据这么重要的原因。这包括所有的包含了信用可数据的数据库文件和/或SQL表格，而没有提到创建或者访问信用卡数据的所有应用系统。不管接触信用卡信息的是哪种系统，都必须要加密。

　　如何满足PCI第三条规则

　　正如上面所提到的，首先要确认所有接触持卡人数据的系统，因为这些系统会包含在最终的PCI DSS审计或者法规确认的范围内。了解持卡人的区分以及他们如何使用防火墙和网络过滤控制也非常重要。这样的安排可能确定相邻的系统是否也在PCI DSS法规确认的范围中。你可能会对保留用户数据的系统总数感到吃惊，这些系统包括数据资料库、开发服务器、中间件和备份系统，这个数据非常庞大。

　　下一步，对经过企业的信用卡数据流进行存档，并确认业务功能。市场部，例如，可能需要用户数据，但是和信用卡信息不相关。从起点处跟踪数据——甚至是从客户或者第三方——到数据被处理的位置或者到离开企业网络的位置。还要确认所有和企业架构和应用相连的电脑和网络。这包括业务单位、厂商、合作伙伴和远程员工系统的网络连接。所有流动的信用卡数据都应该使用SSH、VPN或者SSL/TLS等方法进行加密。

　　如果你对IT部分准确分辨敏感数据的能力不太信任，还有一些很好的数据丢失防护工具可以提供帮助。这些工具可以筛选通过企业的数据，并准确地报告哪些系统接收了这些数据、数据在系统的什么位置以及谁访问了数据。一旦了解了这些，就需要检查企业的访问控制，执行“必须了解”的策略。另外，还要看一下是可能确认那些系统存储了敏感数据，是否可能把这个数量降到最低。