Ho esaminato una serie di thread di domande / risposte e documenti sulla conformità PCI, inclusi vari risultati su Google e non ho trovato una risposta definitiva a questa domanda:
Un'app Web rientra nelle regole / reg di conformità PCI se raccoglie la combinazione di numeri di routing del conto bancario tramite un modulo Web e la trasferisce a terzi per la persistenza / convalida (presupponendo che registri anche le richieste Web in transito)?
Dato che PCI sta per Payment Card Industry, la risposta breve è no.
Tuttavia, le informazioni sono sensibili, pertanto è necessario trattarle come qualsiasi altro dato sensibile e memorizzarle e trasmetterle in un formato crittografato e sicuro.
PCI è un'ottima base per gestire qualsiasi dato sicuro, quindi non sarebbe certamente male trattarlo allo stesso modo.
Prima di tutto - grazie per aver fatto la domanda. In secondo luogo, l'intervistato che ha dichiarato le sue PII e dovrebbe essere protetto è preciso.
Almeno impiegherei la crittografia a livello di campo. Insieme all'architettura a più livelli per un'app su un sito che gestisce questo - o considerare l'outsourcing della gestione dei pagamenti a terzi, evitando molti problemi.
Gestiamo pagamenti per alcune centinaia di migliaia di transazioni al mese e non tocchiamo le carte di credito in casa (un piccolo numero per noi), usiamo controlli come PCI sul controllo entro i limiti del nostro software finanziario e sfruttiamo la crittografia a livello di campo dei numeri di conto Sparatutto attivo - location = a mitigation.
Leggi altre domande sui tag pci-dss