PCI Conformità con i controlli scansionati? [chiuso]

0

Il cliente desidera archiviare i controlli scansionati sul suo server accessibile pubblicamente NON conforme allo standard PCI.

Gli ho detto che è una cattiva idea.

Ho bisogno di presentargli le leggi / le linee guida FTC / le normative governative che specificano in modo specifico i requisiti per l'archiviazione dei controlli scansionati o trovare la parte delle specifiche PCI DSS che dice: "Questo significa anche per i controlli."

Qualcuno sa di cosa si tratta?

Google su Google mi mostra solo milioni di risultati sulla scansione di assegni per il deposito mobile ...

    
posta DrDamnit 05.04.2017 - 23:23
fonte

1 risposta

2

Non puoi trovare nulla su PCI per i controlli, perché non li copre. PCI sta per "Payment Card Industry" - alias, carte di credito (e carte di debito con un logo cardbrand). Il PCI Council (che ha fissato gli standard) non potrebbe importare di meno di garantire qualsiasi altra forma di pagamento (contanti, assegni, vaglia postali, ecc.). Anche i sistemi simili a carte di credito (buoni regalo, carte di credito emesse da negozi, ecc.) Non sono coperti ufficialmente, anche se hanno una striscia magnetica.

Detto questo, è buona pratica seguire gli standard PCI per altre forme di pagamento, dal momento che sono progettati per la sicurezza. Se per caso perdi informazioni sui pagamenti dei tuoi clienti, a chi pensi che incolperanno?

Al posto del PCI, l'industria ACH è coperta dalle NACHA Operating Rules , che puoi anche finanziare riepilogati qui . Da quello che posso dire, le sezioni rilevanti sono 1.6 (Requisiti di sicurezza) e 1.7 (Trasmissione sicura di informazioni ACH tramite reti elettroniche non protette). Insieme, comprendono meno di una pagina di testo. Non riesco a copiarli qui, ma 1.6 in pratica dice "Devi avere politiche in atto per proteggere questi dati". senza specificare alcun requisito specifico.

Tutto sommato, la richiesta potrebbe del cliente essere perfettamente valida in un modo che non sarebbe per i dati della carta. Non è una buona idea, ma è valida.

    
risposta data 06.04.2017 - 03:36
fonte

Leggi altre domande sui tag