I numeri di conto bancario con hash sono dati PCI?

4

Sfondo:

Lavoro per un NPO che riceve un gran numero di donazioni di assegni cartacee ogni settimana. L'attuale processo di registrazione delle donazioni è noioso e fatto per lo più su carta. Poiché la maggior parte delle donazioni proviene da donatori regolari, assegniamo ID donatori univoci, che facilitano la generazione di rapporti di contribuzione di fine anno (che i nostri donatori possono utilizzare a fini fiscali). Tuttavia, la maggior parte dei nostri donatori non scrive il proprio ID del donatore sui propri assegni, il che ci costringe a consultare manualmente ciascun ID del donatore.

Per semplificare questo processo, sto sviluppando una piccola app desktop C # per l'uso in ufficio. Una delle funzionalità che vorrei fornire è una rapida ricerca degli ID dei donatori. Una possibile implementazione potrebbe essere quella di utilizzare un lettore MICR per eseguire la scansione dei controlli, il che renderebbe il routing ABA del donatore e il numero di conto. Non ho davvero bisogno di queste informazioni per i nostri archivi, ma potrebbe essere usato per fare una rapida ricerca dell'ID del donatore. Il numero di routing e account potrebbe essere concatenato, hash con qualcosa come SHA-512, quindi memorizzato in una tabella che associa questi hash con gli ID dei donatori.

Domanda:

Questi codici hash di routing / account unidirezionali dovrebbero essere considerati dati PCI e pertanto richiedono la conformità PCI DSS per il nostro ufficio?

NOTA: per ragioni irrilevanti per questo post, non possiamo convertire questi assegni in EFT, che sarebbe la mia preferenza personale.

    
posta Patrick D. 18.02.2016 - 09:36
fonte

1 risposta

4

Informazioni sull'account bancario

Ti suggerisco di leggere questa domanda che tratta questo argomento: Memorizzazione di numeri di conto e codici di ordinamento online

In breve, quando si memorizzano i dettagli dell'account PCI non si applica ; si applica solo alle carte di pagamento. Tuttavia, lo standard offre ancora uno degli standard più accettati per la memorizzazione di dati sicuri; quindi PCI è un utile punto di riferimento per le buone pratiche .

Suggerisco di rivedere lo standard PCI e implementare tutte le raccomandazioni pertinenti. Tuttavia, poiché non si gestiscono le carte di pagamento, non vi è alcun obbligo legale di conformità.

Dati PCI

La sezione pertinente dello standard inizia a pagina 7 di PCI DSS v3.1 . Questo identifica i dati considerati sensibili.

Intent

Vale la pena notare che gli organizzatori dello schema PCI hanno reso l'applicabilità dello schema il più universale possibile; questo è stato intenzionale. Quindi la risposta è semplice, se gestisci dati sensibili di titolari di carte o di autenticazione, allora lo schema si applica a te.

L'intento dietro lo schema è di fornire un livello base di protezione per i dati sensibili di titolari di carta / autenticazione ovunque esista. Per questo motivo, in ogni caso, non dovrebbe essere troppo costoso implementare lo schema.

Inoltre, schemi come questo non sono sempre così semplici come dovrebbero essere.

Specifiche

L'archiviazione con hash delle informazioni è semplicemente parte della conformità allo schema, non un mezzo per evitare la conformità. L'archiviazione dei dati con hash può essere un mezzo per conformarsi ai requisiti di archiviazione dei dati (vedere la tabella seguente).

Tuttavia, la conformità con il resto dello schema (ad esempio topologia di rete, sicurezza del PC, ecc.) non dipende da come vengono archiviate le informazioni.

    
risposta data 18.02.2016 - 11:07
fonte

Leggi altre domande sui tag