Memorizzazione di numeri di conto e codici di ordinamento online

Naviga le tue risposte
9

Ci sono molte domande sulla memorizzazione delle informazioni della carta di credito e su come le norme PCI SSC / PA-DSS si applicano a tali attività e sistemi. Ho letto molto di questi, ma la mia domanda si riferisce a una domanda diversa che potrebbe o non potrebbe avere nulla a che fare con la conformità PCI.

La mia domanda è in particolare, quali sono le implicazioni dell'archiviazione di codici di ordinamento e numeri di conto online, considerando che non stiamo assumendo alcun tipo di pagamento. Quindi, nulla a che fare con l'utilizzo delle informazioni per effettuare pagamenti attraverso il sistema, ma utilizzando le informazioni per consentire ad altri utenti che hanno accesso al sistema di effettuare pagamenti.

Ho dato un'occhiata a questa domanda: PCI DSS è applicabile ad altre soluzioni rispetto a quelle che riguardano le carte di pagamento? , ma ho davvero bisogno di conoscere i regolamenti e cosa è obbligatorio.

Comprendo che se avessimo previsto la fornitura di pagamenti sul sito Web che stiamo sviluppando, l'archiviazione dei numeri di account influirebbe sul livello di conformità PCI a cui dovremmo attenerci.

Attualmente stiamo aderendo a quelle che sarebbero considerate le "best practice" di sicurezza, quindi utilizzando SSL, crittografando le informazioni nel db, server dedicato con firewall hardware ecc., ma queste "migliori pratiche" sono da un punto di vista interno di un team di sviluppo. So che il software in conformità PCI è solo una parte delle norme di sicurezza generali. Al di fuori della conformità PCI, esiste, ad esempio, un insieme definitivo di regole per la memorizzazione di informazioni sensibili? Ad esempio, siamo obbligati ad aderire agli standard ISO 27001? Chi definisce quali informazioni sono considerate "sensibili".

Il consenso generale in merito alla conformità PCI e alla gestione delle carte di credito, è che se devi chiederlo, non dovresti farlo. Non sto chiedendo necessariamente se o come possiamo farlo o no, ma se qualcuno ha esperienza di questo, e se abbiamo bisogno di coinvolgere un consulente di terze parti specializzato in tali aree.

    
posta JonB 12.08.2011 - 14:35
fonte

2 risposte

6
  1. Se non gestisci carte di credito, carte di debito o altre carte di pagamento correlate, PCI non si applica a te nel senso che non sei obbligato a seguire i suoi requisiti in alcun modo. PCI è "applicato" dalle relazioni commerciali tra commercianti, acquirer e banche emittenti; se non gestisci le carte, non hai queste relazioni.
  2. Poiché lo standard PCI " rappresenta un insieme comune di strumenti e misurazioni del settore per contribuire a garantire la gestione sicura delle informazioni sensibili ", è utile e pertinente per ordinare codici, numeri di routing bancario e numeri di conto. Tuttavia, presuppone anche un ambiente (generalmente, i dati dei titolari di carta in movimento transazionale) che potrebbero non essere applicabili, così come qualcuno ha detto nell'altro post che hai collegato, parti di PCI potrebbero essere irrilevanti o controproducenti per il tuo particolare problema.
  3. Non può farti male parlare con la tua banca di consigli o regolamenti che ritengono rilevanti. Dove usi il termine "codici di ordinamento" presumo che tu sia in Europa e non ho idea di quali altre norme, consensuali o governative, si applicheranno a te.
  4. La linea di fondo è che PCI è un sistema di sicurezza di buon senso e, anche se si trattano dati di account non PCI, sarebbe opportuno seguire tutte le parti applicabili, facendo attenzione a capire cosa non si applica alla situazione. PCI è anche uno standard di minimo comune denominatore, quindi dovresti continuare a migliorare la tua sicurezza da lì. Buona fortuna!
risposta data 12.08.2011 - 15:15
fonte
4

Il proprietario dell'azienda determina ciò che è considerato sensibile. Questo può o non può essere delegato a un dipartimento di sicurezza. Non sei obbligato ad aderire a nulla eccetto ciò che è definito dalla legge o dal contratto . Se non si è in un contratto con una società di carte di credito come un commerciante, non è necessario preoccuparsi di PCI. Ciò non significa che non sia probabilmente una buona idea.

La tua domanda è ampia e onnicomprensiva ... quindi penso che sì, dovresti considerare di coinvolgere un consulente esterno. Anche da questa domanda ho molte domande io stesso, in particolare su come ti ritrovi con le informazioni della carta di credito se non gestisci i pagamenti. Dovresti avere qualcuno in grado di dirti quali rischi affronti e una stima approssimativa di ciò che serve per mitigarli.

    
risposta data 12.08.2011 - 15:16
fonte

Leggi altre domande sui tag

Attacco replay SSL quando manca client / server casuali Sottodomini specifici dell'utente: sicurezza JavaScript