plataforma basada en API para guardar información de cuentas bancarias

1

Estamos implementando un portal que lo hará

  • Exigir al usuario que proporcione los datos bancarios (número de ruta, número de cuenta, etc.).
  • Estos datos se enviarán a través de SFTP a otro operador que usará el número de cuenta bancaria para la facturación.

Después de leer varios hilos aquí, he aprendido que almacenar información de pago requiere un cierto nivel de diseño seguro. Estoy buscando una alternativa donde nunca almacenemos esta información, sino que hagamos una llamada a la API para almacenar y recuperar estos datos de una plataforma segura y luego escribirlos en un SFTP remoto.

  • ¿Este enfoque reduce nuestro riesgo asumiendo que estamos legalmente cubiertos? a través del contrato que el socio almacena la información de forma segura.
  • ¿Existe una plataforma basada en API que proporcione este servicio? Existen plataformas de pago que proporcionan la capacidad de procesamiento, pero todo lo que necesitamos es una entrada y almacenamiento seguros desde la plataforma.
pregunta user9445 09.08.2016 - 22:56
fuente

1 respuesta

0

Si sus sistemas tienen visibilidad de los datos confidenciales de la cuenta, su negligencia podría ser responsable de cualquier incumplimiento o fraude. Entonces, simplemente recolectando los datos, usted se expone a estos riesgos.

Estos riesgos se magnifican si los datos confidenciales se almacenan de forma duradera "en reposo" bajo su custodia, ya sea en los servidores que usted controla o en un proveedor con el que contrata, en lugar de simplemente pasar por sus sistemas "en tránsito".

Hay muchos servicios que almacenarán datos para usted, pero no asumirán ninguna responsabilidad de custodia, especialmente en la forma intensificada que implica el almacenamiento de datos confidenciales. La custodia permanece contigo.

Entonces, debido a que sus sistemas tienen visibilidad, el riesgo permanece con usted y no puede esperar transferir ese riesgo a otro proveedor. Por lo tanto, no habrá servicios que funcionen exactamente de la manera deseada en el espacio de ACH.

Los servicios, como Stripe, recopilan la información de pago del cliente y luego la utilizan para solicitar transferencias de dinero de las cuentas del cliente a su cuenta. Puede utilizar estos servicios de forma segura con un riesgo mínimo porque nunca ve los datos confidenciales de la cuenta. La raya asume el riesgo, a cambio de tomar un recorte del 2-3%.

Las reglas en este ámbito son mucho más claras en el dominio de las tarjetas de crédito, donde PCI ha desarrollado a lo largo de los años un grado de sofisticación relativamente alto para clasificar a las organizaciones participantes, desarrollar roles y estándares, crear un ecosistema de auditoría y cumplimiento, y gestionar el cumplimiento. . No es perfecto, y el fraude con las tarjetas de crédito ocurre todos los días, pero se administra y los requisitos y consecuencias son mucho más claros.

El sistema ACH, cuya contraparte de PCI es NACHA, es mucho más antiguo y posiblemente menos organizado que el sistema de tarjetas de crédito. La maquinaria es mucho menos madura. Los riesgos que surgen de la falta de madurez se compensan con el ritmo con el que funciona el sistema ACH, en el que el tiempo mínimo de transacción es en días en lugar de los segundos que se pueden lograr en el sistema de tarjetas de crédito. Pero NACHA aún espera que los facturadores que utilizan ACH deben tener pruebas claras tanto de la identidad del cliente que inicia el pago como de su consentimiento para cualquier transacción en particular. Estas responsabilidades comienzan con las partes que recopilan esta información.

    
respondido por el Jonah Benton 10.08.2016 - 02:16
fuente

Lea otras preguntas en las etiquetas