在线存储帐号和分类代码

信息安全 遵守 pci-dss
2021-08-24 04:28:36

关于存储信用卡信息以及 PCI SSC/PA-DSS 法规如何适用于此类活动和系统存在很多问题。我已经阅读了很多这些,但我的问题涉及到一个不同的问题,该问题可能与 PCI 合规性有关,也可能无关。

我的问题是,考虑到我们不接受任何形式的付款,在线存储分类代码和帐号有什么影响。因此,与使用该信息通过系统进行支付无关,而是使用该信息使有权访问该系统的其他用户进行支付。

我看过这个问题: PCI DSS 是否适用于处理支付卡的其他解决方案?,但我真的需要知道规定和什么是强制性的。

我了解,如果我们在正在开发的网站上确实有付款规定,那么帐号的存储将影响我们需要遵守的 PCI 合规水平。

目前我们正在坚持被认为是安全“最佳实践”,因此使用 SSL、加密数据库中的信息、带有硬件防火墙的专用服务器等,但这些“最佳实践”是从开发团队的内部角度来看的. 我知道 PCI 合规性软件只是整体安全法规的一部分。除了 PCI 合规性之外,是否有一套明确的规则来存储敏感信息?例如,我们是否有义务遵守 ISO 27001 标准?谁定义了哪些信息被认为是“敏感的”。

关于 PCI 合规性和信用卡处理的普遍共识是,如果您需要询问,那么您不应该这样做。我不一定要问我们是否或如何做到这一点,而是是否有人有这方面的经验,以及我们是否需要聘请专门从事此类领域的第三方顾问。

2个回答
  1. 如果您不处理信用卡、借记卡或其他相关支付卡,则 PCI 不适用于您,因为您无需以任何方式遵守其要求。PCI 由商家、收单机构和发卡行之间的业务关系“强制执行”;如果你不处理卡片,你就没有这些关系。
  2. 因为 PCI 标准“代表了一套通用的行业工具和衡量标准,以帮助确保安全处理敏感信息”,所以它对分类代码、银行路由号码和帐号非常有用且相关。但是,它还假设了一个可能不适用的环境(通常是交易动作中的持卡人数据),因此正如有人在您链接的另一篇文章中所说,PCI 的某些部分可能与您的特定问题无关或适得其反。
  3. 与您的银行讨论他们认为相关的任何建议或法规不会对您造成伤害。在您使用“分类代码”一词的地方,我假设您在欧洲,而且我不知道还有哪些其他法规(自愿或政府)适用于您。
  4. 底线是,PCI 是常识安全,即使持有非 PCI 帐户数据,您也应该明智地遵循任何适用的部分,同时小心了解哪些内容不适用于您的情况。PCI 也是最低公分母标准,因此您应该从那里继续提高您的安全性。祝你好运!

企业主决定什么是敏感的。这可能会或可能不会委托给安全部门。除了法律或合同规定的内容外,您没有义务遵守任何规定如果您没有作为商家与信用卡公司签订合同,则您不必担心 PCI。这并不意味着它可能不是一个好主意。

你的问题很广泛而且很重要......所以我认为是的,你应该考虑聘请外部顾问。即使从这个问题我自己也有很多问题,特别是如果您不处理付款,您将如何获得信用卡信息。您应该有人可以告诉您您面临哪些风险,并粗略估计需要采取哪些措施来减轻这些风险。

其它你可能感兴趣的问题
上一篇密码学在反盗版中扮演什么角色? 下一篇在 Access 中“保存”时,ODBC 密码存储在哪里/如何存储?