it-swarm.dev

La memorizzazione delle combinazioni di numeri di instradamento dei conti bancari è soggetta a PCI DSS regole di conformità di livello 1?

Ho esaminato una serie di thread di domande/risposte e documenti sulla conformità PCI, inclusi vari risultati su Google e non ho trovato una risposta definitiva a questa domanda:

Un'app Web rientra nelle regole/registri di conformità PCI se raccoglie la combinazione di numeri di routing del conto bancario tramite un modulo Web e la passa a terzi per persistenza/convalida (presupponendo che registri anche le richieste Web in transito)?

23
zealoushacker

Poiché PCI è l'acronimo di Payment Card Industry, la risposta breve è no.

Tuttavia, tali informazioni sono sensibili, pertanto è necessario trattarle come qualsiasi altro dato sensibile e archiviarle e trasmetterle in un formato sicuro e crittografato.

Il PCI è un'ottima base per gestire qualsiasi dato sicuro, quindi certamente non farebbe male a trattarlo allo stesso modo.

15
mjallday

Prima di tutto, grazie per aver posto la domanda. In secondo luogo, il rispondente che ha dichiarato le sue PII e che dovrebbe essere protetto è accurato.

Come minimo impiegherei la crittografia a livello di campo. Insieme all'architettura a più livelli per un'app in un sito che gestisce questo - o prendere in considerazione la gestione dei pagamenti in outsourcing a terzi, evitando molti problemi.

Gestiamo pagamenti per alcune centinaia di migliaia di transazioni al mese e non tocchiamo le carte di credito internamente (piccolo numero per noi), utilizziamo controlli simili a PCI per controllare entro i limiti del nostro software finanziario e sfruttare la crittografia a livello di campo dei numeri di conto Tiratore attivo: posizione = mitigazione.

3
Isaac