Queremos almacenar algunos datos de titulares de tarjetas en nuestra base de datos. La tarjeta que queremos almacenar está conectada a nuestra cuenta de la empresa. ¿Esto cae bajo el marco de PCI? Por ejemplo, ¿tengo que cumplir con los requisitos relacionados con el almacenamiento de datos de titulares de tarjetas?
@Rook tiene razón. No tiene que ser compatible con PCI DDS para almacenar sus propios datos, pero aún así debe adoptar los métodos de protección (pero no toda la "burocracia" agregada) sugerida por la factura de PCI DDS.
¿Para qué se utiliza este DB, además de almacenar la información de la tarjeta? ¿Es (incluso una parte de él) accesible a los forasteros? Si se usa solo internamente, una restricción de IP le dará suficiente tranquilidad, si no, una WAF compatible con PCI sería una buena idea.
PCI se trata de proteger a los consumidores y los "datos del consumidor". No creo que el PCI-DSS se aplique aquí, aunque no es una buena idea. SQL Injection se puede usar para leer estos valores, es un poco mejor codificar estos valores en un archivo de configuración, ya que también es un diseño más apropiado.
Lea otras preguntas en las etiquetas pci-dss