Seguridad requerida para almacenar transacciones bancarias, pero no credenciales

Navega tus respuestas
1

Si estoy usando un servicio de agregación de datos bancarios externos para obtener créditos bancarios y créditos de usuarios, pero el servicio externo en sí mismo está manejando el proceso de recopilación y administración de credenciales bancarias, solo estoy almacenando listas de transacciones recientes e información como ¿Qué cuentas existen y sus correspondientes transacciones, tokens de servicios, bancos o compañías de tarjetas de crédito, límites de crédito, etc., necesito el cumplimiento de PCI? ¿Qué requisitos de seguridad existen para dicha aplicación?

    
pregunta TheEnvironmentalist 27.08.2017 - 20:26
fuente

1 respuesta

2

Si no es un comerciante (es decir, no acepta tarjetas de pago) y no es un proveedor de servicios para comerciantes o bancos, es probable que no haya nadie que le esté solicitando que cumpla con PCI DSS. Y entonces la decisión es tuya. Si tiene números de tarjeta de pago (el número de 15/16 dígitos en el centro de la tarjeta), entonces puede considerar que es una buena línea de base. Para otra buena línea de base, considere los controles críticos de CIS 20.

Además, si se encuentra en la UE, debe conocer el RTS de seguridad de la EBA bajo PSD2, ya que parece que puede estar proporcionando servicios de información de cuenta. Sin embargo, si se encuentra en la UE, una vez que la PSD2 entre en vigencia (13 de enero de 2018) dice específicamente que el número de cuenta no es "datos confidenciales".

    
respondido por el withoutfire 28.08.2017 - 12:13
fuente

Lea otras preguntas en las etiquetas

¿Este campo de entrada y esta función son seguros? [cerrado] Credenciales en la URL de la biblioteca de "Solicitudes" de Python [cerrado]