Piattaforma basata su API per salvare le informazioni del conto bancario

Naviga le tue risposte
1

Stiamo implementando un portale che

  • Richiedi all'utente di fornire i dettagli bancari (numero di routing, numero di conto ecc.)
  • Questi dati verranno inviati tramite SFTP a un altro corriere che utilizzerà il numero di conto bancario per la fatturazione.

Dopo aver letto vari thread qui ho imparato che la memorizzazione delle informazioni di pagamento richiede un certo livello di progettazione sicura. Sto cercando un'alternativa in cui non archiviamo mai queste informazioni, ma facciamo una chiamata API per archiviare e recuperare questi dati da una piattaforma sicura e quindi scrivere i dati su SFTP remoto.

  • Questo approccio riduce il rischio presumendo di essere giuridicamente coperti tramite contratto che il partner memorizza le informazioni in modo sicuro.
  • C'è una piattaforma basata su API che fornisce questo servizio? Esistono piattaforme di pagamento che forniscono la capacità di elaborazione, ma tutto ciò di cui abbiamo bisogno è l'input e l'archiviazione sicuri dalla piattaforma.
posta user9445 09.08.2016 - 22:56
fonte

1 risposta

0

Se i tuoi sistemi hanno visibilità sui dati sensibili degli account, la tua negligenza potrebbe essere responsabile di qualsiasi violazione o frode. Quindi, semplicemente raccogliendo i dati, ti esponi a questi rischi.

Questi rischi sono amplificati se i dati sensibili vengono conservati "a riposo" in modo duraturo, sotto la custodia, sia sui server che controlli o presso un fornitore con cui si contraggono, piuttosto che sul semplice transito dei sistemi "in transito".

Ci sono molti servizi che memorizzeranno i dati per te, ma non assumeranno alcuna responsabilità di custodia, in particolare nella forma accresciuta che implica l'archiviazione dei dati sensibili. La custodia rimane con te.

Quindi, poiché i tuoi sistemi hanno visibilità, il rischio rimane con te e non puoi aspettarti di spostare quel rischio su un altro fornitore. Pertanto non ci saranno servizi che funzionano esattamente nella maniera desiderata nello spazio ACH.

I servizi, come Stripe, raccolgono le informazioni sui pagamenti dei clienti e quindi utilizzano tali informazioni per richiedere trasferimenti di denaro dagli account dei clienti al tuo account. Puoi tranquillamente utilizzare questi servizi con un rischio minimo perché non vedi mai i dati sensibili del tuo account. Stripe sopporta il rischio, in cambio di un taglio del 2-3%.

Le regole in questo ambito sono molto più chiare nel dominio delle carte di credito, dove PCI ha sviluppato negli anni un grado relativamente alto di sofisticazione per classificare le organizzazioni partecipanti, sviluppare ruoli e standard, costruire un ecosistema di audit e conformità e gestire l'applicazione . Non è perfetto e le frodi con carta di credito si verificano ogni giorno, ma sono gestite e i requisiti e le conseguenze sono molto più chiari.

Il sistema ACH, la cui controparte PCI è NACHA, è molto più vecchio e probabilmente meno ben organizzato rispetto al sistema delle carte di credito. I macchinari sono molto meno maturi. I rischi che derivano dalla mancanza di maturità sono compensati dal ritmo al quale funziona il sistema ACH, in cui il tempo di transazione minimo è di giorni anziché i secondi che possono essere raggiunti nel sistema delle carte di credito. Ma NACHA si aspetta ancora che gli emittenti di fatture che utilizzano ACH debbano avere prove chiare sia dell'identità del cliente che avvia il pagamento sia del loro assenso a una particolare transazione. Queste responsabilità iniziano con le parti che raccolgono queste informazioni.

    
risposta data 10.08.2016 - 02:16
fonte

Leggi altre domande sui tag

Potenziale attacco MITM sul server di posta elettronica Scheda di valutazione per attacchi canale laterale [chiusa]