Nella nostra applicazione web, consentiamo ai clienti di inserire i dati del proprio conto bancario come metodo di pagamento (numero di conto, numero di routing, nome della banca). Questa informazione non va da nessuna parte; spetta al cliente elaborare questi pagamenti utilizzando un sistema separato.
Che cosa, se non altro, dovremmo fare per proteggere questi dati? E dove potrei cercare informazioni su questo genere di cose?
PCI non ha nulla a che fare con le informazioni bancarie e potrebbe non essere applicabile a seconda della situazione di hosting. PA-DSS si occupa di applicazioni Web.
Considererei molto seriamente i rischi implicati in questo, rispetto al vantaggio monetario derivante dall'accettare e archiviare queste informazioni. Una violazione dei dati di queste informazioni potrebbe esporvi a una grande quantità di rischi e spese. Ad esempio, oltre 30 stati hanno le loro leggi sulla notifica della spiaggia e le tempistiche per quanto tempo devi contattare il procuratore generale, i clienti, ecc. Potresti avere solo un giorno o due in molti casi e le spese legali da solo sarebbero molto costose .
Oltre a questo, sei spesso responsabile di notificare per posta tutti i clienti interessati nella maggior parte di questi stati. Molte aziende finiscono per acquistare / fornire il monitoraggio del credito gratuito e l'utente può essere citato in giudizio da banche o individui i cui account sono compromessi al fine di coprire le perdite effettive, compresi i fondi effettivi e le risorse bancarie. Potresti dover affrontare ulteriori responsabilità personali se non segui le best practice del settore, che in genere includeranno la revisione di codice e penna di tutte le versioni e gli aggiornamenti, i controlli annuali, la crittografia, il monitoraggio dell'integrità dei file, l'utilizzo del firewall dell'applicazione web, SIEM, IDS / IPS e l'elenco continua.
Questo non è tutto per spaventarti, ma per trasmettere la serietà dell'impegno. Se sei determinato a conservare le PII legate alle attività bancarie, prenderei in seria considerazione la possibilità di consultare un avvocato o un esperto del settore bancario esperto in sicurezza informatica. Per lo meno, parlerei con alcune delle banche più grandi della tua zona e chiederò che cosa richiederebbero se tu stessi gestendo un servizio come questo per uno dei loro clienti aziendali.
Disclaimer: non sono un avvocato, i punti di vista e i pensieri sono miei e solo miei, ecc. ecc.