it-swarm-eu.dev

Spadá ukládání čísel směrování bankovních účtů pod PCI DSS Pravidla souladu s úrovní 1?

Podíval jsem se na řadu otázek/odpovědí a dokumentů o souladu s PCI, včetně různých výsledků na Googlu a nenašel jsem definitivní odpověď na tuto otázku:

Spadá webová aplikace podle pravidel/pravidel PCI, pokud shromažďuje kombinaci čísel směrování bankovních účtů prostřednictvím webového formuláře a předává ji třetí straně za účelem vytrvalosti/ověření (za předpokladu, že také zaznamenává webové požadavky v tranzitu)?

23
zealoushacker

Protože PCI je zkratka pro platbu Card Industry, krátká odpověď zní ne.

Tyto informace jsou však citlivé, takže byste s nimi měli zacházet jako s jinými citlivými daty a ukládat a přenášet je v zabezpečené, šifrované podobě.

PCI je skvělý základ pro zpracování jakýchkoli zabezpečených dat, takže by rozhodně nebylo na škodu s ním zacházet stejně.

15
mjallday

První - díky za položení otázky. Zadruhé, respondent, který uvedl svůj PII a měl by být chráněn, je přesný.

Minimálně bych použil šifrování na úrovni pole. Spolu s N stupňovou architekturou pro aplikaci na webu, která to spravuje - nebo zvažte outsourcing správy plateb třetí straně, čímž se vyhnete mnoha problémům.

Spravujeme platby za několik set tisíc transakcí za měsíc a nedotýkáme se kreditních karet v domácnosti (malý počet pro nás), používáme kontroly typu PCI jako kontroly v rámci omezení našeho finančního softwaru a využíváme šifrování čísel účtů na úrovni pole Aktivní střelec - umístění = zmírnění.

3
Isaac