Sicurezza richiesta per l'archiviazione delle transazioni bancarie, ma non delle credenziali

Naviga le tue risposte
1

Se sto utilizzando un servizio di aggregazione di dati bancari esterni per ottenere transazioni bancarie e di credito da parte degli utenti, ma il servizio esterno sta gestendo il processo di raccolta e gestione delle credenziali bancarie, sto semplicemente memorizzando elenchi di transazioni recenti e informazioni come quali account esistono e le loro transazioni corrispondenti, i token di servizio, le banche o le società di carte di credito, i limiti di credito e così via, ho bisogno della conformità PCI? Quali sono i requisiti di sicurezza per questa applicazione?

    
posta TheEnvironmentalist 27.08.2017 - 20:26
fonte

1 risposta

2

Se non sei un commerciante (cioè non prendi carte di pagamento) e non sei un fornitore di servizi per commercianti o banche, allora probabilmente non c'è nessuno che ti chieda contrattualmente di conformarsi a PCI DSS - e quindi la decisione è tua. Se si dispone di numeri di carta di pagamento (il numero 15/16 cifre nel mezzo della carta), si consiglia di considerarlo come una buona base di riferimento. Per un'altra buona base considerare i controlli critici del CIS 20.

Inoltre, se sei nell'UE, devi essere a conoscenza del RTS di sicurezza dell'EBA in PSD2 perché sembra che tu stia fornendo servizi di informazioni sull'account. Tuttavia, se si è nell'UE, una volta entrato in vigore PSD2 (13 gennaio 2018), si specifica specificamente che il numero di conto non è "dati sensibili".

    
risposta data 28.08.2017 - 12:13
fonte

Leggi altre domande sui tag

in cosa viene impostato "nessun valore specificato" in keychain su osx? Ho bisogno di una password di sicurezza elevata se richiedo anche un certificato client per la convalida?