Buenas tardes:
En el caso que exista una justificación técnica o administrativa que impida la implementación del requerimiento de PCI DSS conforme lo indica el estándar, se puede emplear un control compensatorio (https://www.pcihispano.com/controles-compensatorios-que-son-y-cuando-se-utilizan/). Es importante tener en cuenta que para la elección y validación de dichos controles es altamente recomendable emplear el soporte de un asesor QSA para evitar problemas futuros.
Respecto al almacenamiento, el requerimiento 3.4 ofrece diferentes alternativas para proteger los datos del PAN de forma segura:
– Usando criptografía fuerte (https://www.pcihispano.com/que-algoritmos-criptograficos-se-deben-emplear-para-cumplir-con-pci-dss/)
– Usando funciones criptográficas de ua sola vía (one-way) o hash
– Usando tokenización (https://www.pcihispano.com/el-concepto-de-tokenizacion-y-su-aplicabilidad-en-pci-dss/)
– Usando truncamiento (https://www.pcihispano.com/diferencias-entre-enmascaramiento-y-truncamiento-en-pci-dss/)
Adicionalmente, si los datos son almacenados en un medio de almacenamiento removible, se puede emplear la encriptación a nivel de disco (https://www.pcihispano.com/consideraciones-para-el-cifrado-de-disco-y-cumplir-con-el-requisito-3-4-1-de-pci-dss/).
La alternativa que comentas (usar encriptación PGP) es un formato correcto de almacenamiento que cumple con el requerimiento 3.4 (criptografía fuerte). No obstante, si se usa criptografía, los requisitos 3.5 y 3.6 (relacionados con la gestión de claves de encriptación) también aplican.
Para darte una respuesta más ajustada, me vendría bien que me cuentes en dónde estarán guardados los datos (un archivo, una base de datos, etc.) y la razón por la cual se requieren esos datos en claro.
Saludos,
David