EDIT: questo è per la regione UK / Europa.
Mi sono grattato la testa leggendo altri post simili a questo riguardo alla memorizzazione sicura del routing della banca e dei numeri di conto. So che i numeri di routing possono essere in chiaro in un database, poiché sono pubblicamente disponibili. Sono preoccupato per la memorizzazione del numero di conto comunque. So anche che non puoi davvero ottenere nulla da un conto bancario con solo i numeri di routing e account.
So che queste informazioni non rientrano negli standard PCI. Al momento disponiamo di un'applicazione Web e di un database aziendali ospitati sullo stesso server e vorremmo memorizzare alcuni dettagli dell'account qui riportati da alcuni dei nostri dipendenti quando facciamo fatture, ecc. Abbiamo un sistema basato su permessi / ruoli completamente abilitato , quindi possiamo limitare a chi sono disponibili queste informazioni.
La mia preoccupazione principale sono le nostre mailing per queste informazioni. AFAIK, dobbiamo inviare una lettera di conferma al cliente quando qualsiasi parte del suo account cambia (come le date di ritiro, ecc.), Oppure ne creano una nuova. Su questa lettera, dovrebbe apparire il numero del conto bancario. Desideriamo inoltre che queste informazioni siano disponibili per il cliente sul loro account del portale online (creato da noi). È sicuro memorizzare il numero di conto così com'è (chiaro) e includere SOLO il numero completo sulla lettera? La versione online potrebbe essere parzialmente o completamente oscurata dal server, in modo che non appaia mai nel browser.
O sto pensando troppo e andando troppo lontano? O sarebbe meglio allontanarsi da questo e sottolineare la parola NO al mio superiore?