En nuestra aplicación web, permitimos que los clientes ingresen la información de su cuenta bancaria como método de pago (número de cuenta, número de ruta, nombre del banco). Esta información no va a ninguna parte en absoluto; depende del cliente procesar dichos pagos utilizando un sistema separado.
¿Qué debemos hacer, si es que hacemos, para proteger estos datos? ¿Y dónde podría estar buscando información sobre este tipo de cosas?
PCI no tiene nada que ver con la información bancaria, y puede que no sea aplicable dependiendo de su situación de alojamiento. PA-DSS se ocupa de las aplicaciones web.
Consideraría muy seriamente los riesgos que implica esto, en comparación con el beneficio monetario que obtiene como resultado de aceptar y almacenar esta información. Una violación de datos de esta información puede exponerlo a una gran cantidad de riesgos y gastos. Por ejemplo, más de 30 estados tienen sus propias leyes de notificación de playas y plazos para el tiempo que tiene que contactar al fiscal general del estado, a los clientes, etc. En muchos casos, es posible que solo tenga uno o dos días y los honorarios legales por sí solos serían muy caros .
Además, a menudo es responsable de notificar a todos los clientes afectados en la mayoría de estos estados por correo. Muchas compañías terminan comprando / proporcionando monitoreo de crédito gratuito y usted puede ser demandado por bancos o individuos cuyas cuentas están comprometidas para cubrir pérdidas reales, incluidos fondos reales y recursos bancarios. Es posible que enfrente una responsabilidad personal adicional si no sigue las mejores prácticas de la industria, que normalmente incluirían la revisión de pruebas de código y pluma de todas las versiones y actualizaciones, auditorías anuales, cifrado, monitoreo de integridad de archivos, uso de firewall de aplicaciones web, SIEM, IDS / IPS, y la lista continúa.
Esto no es todo para asustarlo, sino para transmitir la seriedad de la empresa. Si está decidido a almacenar información de carácter personal relacionada con la banca, consideraría encarecidamente consultar a un abogado o a un profesional experimentado en seguridad informática de la industria bancaria. Como mínimo, hablaría con algunos de los bancos más grandes de su área y les preguntaría qué necesitarían si estuviera operando un servicio como este para uno de sus clientes comerciales.
Descargo de responsabilidad: no soy abogado, las opiniones y los pensamientos son solo míos y míos, etc., etc.