He analizado una serie de hilos de preguntas / respuestas y documentos sobre el cumplimiento de PCI, incluidos varios resultados en Google y no he encontrado una respuesta definitiva a esta pregunta:
¿Una aplicación web cumple con las reglas / normas de cumplimiento de PCI si recopila la combinación de números de enrutamiento de cuenta bancaria a través de un formulario web y la pasa a un tercero para su persistencia / validación (asumiendo que también registra las solicitudes web)? tránsito)?
Dado que PCI significa Tarjeta de Pago, la respuesta corta es no.
Sin embargo, la información es confidencial, por lo que debe tratarla como cualquier otro dato sensible y almacenarla y transmitirla de forma segura y encriptada.
PCI es una excelente línea de base para tratar con datos seguros, por lo que ciertamente no estaría de más tratarlos de la misma manera.
En primer lugar, gracias por hacer la pregunta. Segundo, el encuestado que declaró su PII y debería estar protegido es exacto.
Como mínimo emplearía cifrado a nivel de campo. Junto con la arquitectura de N niveles para una aplicación en un sitio que administra esto, o considere la posibilidad de subcontratar la administración de pagos a un tercero, evitando muchos problemas.
Gestionamos pagos por unos pocos cientos de miles de transacciones al mes y no tocamos las tarjetas de crédito de forma interna (un número pequeño para nosotros), utilizamos controles de tipo PCI para verificar dentro de las limitaciones de nuestro software financiero y aprovechamos el cifrado a nivel de campo de números de cuenta Active Shooter - ubicación = una mitigación.
Lea otras preguntas en las etiquetas pci-dss