it-swarm-eu.dev

Fällt das Speichern von Bankkonto-Routing-Nummernkombinationen unter die PCI DSS Level 1-Konformitätsregeln?

Ich habe mir eine Reihe von Frage-/Antwort-Threads und Dokumenten zur PCI-Konformität angesehen, einschließlich verschiedener Ergebnisse bei Google, und keine endgültige Antwort auf diese Frage gefunden:

Fällt eine Web-App unter die PCI-Konformitätsregeln/-registrierungen, wenn sie die Kombination aus Bankkonto-Routing-Nummer über ein Webformular sammelt und zur Persistenz/Validierung an einen Dritten weiterleitet (vorausgesetzt, sie protokolliert auch die Webanforderungen während des Transports)?

23
zealoushacker

Da PCI für Payment Card Industry steht, lautet die kurze Antwort nein.

Diese Informationen sind jedoch vertraulich. Sie sollten sie daher wie alle anderen vertraulichen Daten behandeln und in einer sicheren, verschlüsselten Form speichern und übertragen.

PCI ist eine hervorragende Basis für den Umgang mit sicheren Daten, sodass es sicherlich nicht schaden würde, sie gleich zu behandeln.

15
mjallday

Zunächst einmal - danke, dass Sie die Frage gestellt haben. Zweitens ist der Befragte, der seine PII angegeben hat und geschützt werden sollte, korrekt.

Zumindest würde ich eine Verschlüsselung auf Feldebene verwenden. Zusammen mit der N-Stufen-Architektur für eine App auf einer Site, die dies verwaltet - oder erwägen Sie, das Zahlungsmanagement an Dritte auszulagern, um viele Probleme zu vermeiden.

Wir verwalten Zahlungen für einige hunderttausend Transaktionen pro Monat und berühren keine Kreditkarten im eigenen Haus (kleine Anzahl für uns). Wir verwenden PCI-ähnliche Kontrollen zur Überprüfung innerhalb der Grenzen unserer Finanzsoftware und nutzen die Verschlüsselung von Kontonummern auf Feldebene Active Shooter - Ort = eine Minderung.

3
Isaac