it-swarm-id.com

Apakah menyimpan kombinasi nomor perutean rekening bank termasuk dalam PCI DSS aturan kepatuhan Level 1?

Saya telah melihat sejumlah utas pertanyaan/jawaban dan dokumen tentang kepatuhan PCI, termasuk berbagai hasil di Google dan belum menemukan jawaban pasti untuk pertanyaan ini:

Apakah aplikasi web termasuk dalam aturan/regs kepatuhan PCI jika ia mengumpulkan kombinasi nomor perutean rekening bank melalui formulir web dan meneruskannya ke pihak ketiga untuk kegigihan/validasi (dengan asumsi bahwa itu juga mencatat permintaan web dalam transit)?

23
zealoushacker

Karena PCI singkatan dari Pembayaran Kart Industri, jawaban singkatnya adalah tidak.

Namun informasi itu sensitif sehingga Anda harus memperlakukannya seperti data sensitif lainnya dan menyimpan serta mengirimkannya dalam bentuk yang aman dan dienkripsi.

PCI adalah dasar yang bagus untuk menangani data aman apa pun sehingga tidak ada salahnya memperlakukannya sama.

15
mjallday

Pertama - terima kasih telah mengajukan pertanyaan. Kedua, responden yang menyatakan PII dan harus dilindungi adalah akurat.

Paling tidak saya akan menggunakan enkripsi level lapangan. Seiring dengan arsitektur bertingkat N untuk aplikasi di situs yang mengelola ini - atau pertimbangkan outsourcing manajemen pembayaran kepada pihak ketiga, menghindari banyak masalah.

Kami mengelola pembayaran untuk beberapa ratus ribu transaksi sebulan dan kami tidak menyentuh kartu kredit secara internal (jumlah kecil untuk kami), kami menggunakan kontrol seperti PCI untuk memeriksa dalam batasan perangkat lunak keuangan kami dan meningkatkan tingkat lapangan enkripsi nomor rekening Penembak Aktif - location = mitigasi.

3
Isaac