Se immagazzino le mie carte personali in un database. Questo rientra nel quadro di conformità PCI?

4

Vogliamo memorizzare alcuni dati dei titolari di carta nel nostro database. Le carte che vogliamo memorizzare sono tutte collegate al nostro account aziendale. Questo rientra nel quadro PCI? Ad esempio, devo rispettare i requisiti relativi alla conservazione dei dati dei titolari di carta?

    
posta Rup 17.10.2012 - 17:36
fonte

2 risposte

1

@Rook ha ragione. Non è necessario essere conformi allo standard PCI DDS per memorizzare i propri dati, ma è comunque necessario adottare i metodi di protezione (ma non tutta la "burocrazia" aggiunta) proposta dalla bolletta PCI DDS.

A cosa serve questo DB, oltre a memorizzare le informazioni della carta? È (anche una parte di esso) accessibile agli estranei? Se usato solo internamente, una restrizione IP ti darà abbastanza tranquillità, se non lo è - un WAF compatibile con PCI sarebbe una buona idea.

    
risposta data 18.10.2012 - 15:22
fonte
2

Il PCI riguarda la protezione dei consumatori e dei "dati dei consumatori". Non penso che il PCI-DSS si applichi qui, sebbene non sia una buona idea. SQL Injection può essere usato per leggere questi valori, è leggermente meglio codificare questi valori in un file di configurazione, ma è anche una progettazione più appropriata.

    
risposta data 17.10.2012 - 18:12
fonte

Leggi altre domande sui tag