Sicurezza richiesta per l'archiviazione delle transazioni bancarie, ma non delle credenziali

1

Se sto utilizzando un servizio di aggregazione di dati bancari esterni per ottenere transazioni bancarie e di credito da parte degli utenti, ma il servizio esterno sta gestendo il processo di raccolta e gestione delle credenziali bancarie, sto semplicemente memorizzando elenchi di transazioni recenti e informazioni come quali account esistono e le loro transazioni corrispondenti, i token di servizio, le banche o le società di carte di credito, i limiti di credito e così via, ho bisogno della conformità PCI? Quali sono i requisiti di sicurezza per questa applicazione?

    
posta TheEnvironmentalist 27.08.2017 - 20:26
fonte

1 risposta

2

Se non sei un commerciante (cioè non prendi carte di pagamento) e non sei un fornitore di servizi per commercianti o banche, allora probabilmente non c'è nessuno che ti chieda contrattualmente di conformarsi a PCI DSS - e quindi la decisione è tua. Se si dispone di numeri di carta di pagamento (il numero 15/16 cifre nel mezzo della carta), si consiglia di considerarlo come una buona base di riferimento. Per un'altra buona base considerare i controlli critici del CIS 20.

Inoltre, se sei nell'UE, devi essere a conoscenza del RTS di sicurezza dell'EBA in PSD2 perché sembra che tu stia fornendo servizi di informazioni sull'account. Tuttavia, se si è nell'UE, una volta entrato in vigore PSD2 (13 gennaio 2018), si specifica specificamente che il numero di conto non è "dati sensibili".

    
risposta data 28.08.2017 - 12:13
fonte

Leggi altre domande sui tag