Almacenar números de cuenta y códigos de clasificación en línea

9

Hay muchas preguntas sobre el almacenamiento de la información de la tarjeta de crédito y sobre cómo se aplican las normas de PCI SSC / PA-DSS a tales actividades y sistemas. He leído muchos de estos, pero mi pregunta se relaciona con una pregunta diferente que puede o no tener algo que ver con el cumplimiento de PCI.

Mi pregunta es específicamente, ¿cuáles son las implicaciones de almacenar códigos de clasificación y números de cuenta en línea, teniendo en cuenta que no estamos realizando ningún tipo de pago? Por lo tanto, no tiene nada que ver con el uso de la información para realizar pagos a través del sistema, sino con la información para permitir que otros usuarios que tienen acceso al sistema puedan realizar pagos.

He echado un vistazo a esta pregunta: ¿Es aplicable el DSS de PCI? ¿A otras soluciones que no sean las relacionadas con las tarjetas de pago? , pero realmente necesito conocer las regulaciones y lo que es obligatorio.

Entiendo que si tuviéramos una disposición de pago en el sitio web que estamos desarrollando, el almacenamiento de los números de cuenta afectaría el nivel de cumplimiento de PCI que deberíamos cumplir.

Actualmente nos adherimos a lo que se consideraría "mejores prácticas" de seguridad, por lo que utilizamos SSL, ciframos la información en la base de datos, un servidor dedicado con firewall de hardware, etc., pero estas "mejores prácticas" son desde un punto de vista interno de Un equipo de desarrollo. Sé que el software en cumplimiento con PCI es solo una parte de las normas de seguridad generales. Fuera del cumplimiento de PCI, ¿hay, por ejemplo, un conjunto definitivo de reglas para almacenar información confidencial? ¿Estamos obligados, por ejemplo, a cumplir con las normas ISO 27001? Quién define qué información se considera "sensible".

El consenso general con respecto al cumplimiento de PCI y el manejo de las tarjetas de crédito es que, si necesita preguntar, no debería hacerlo. No estoy preguntando necesariamente si podemos hacerlo o no, pero si alguien tiene experiencia en esto y si necesitamos contratar a un consultor externo que se especialice en esas áreas.

    
pregunta JonB 12.08.2011 - 14:35
fuente

2 respuestas

6
  1. Si no maneja tarjetas de crédito, tarjetas de débito u otras tarjetas de pago relacionadas, PCI no se aplica a usted en el sentido de que no está obligado a seguir sus requisitos de ninguna manera. PCI es "impuesta" por las relaciones comerciales entre comerciantes, compradores y bancos emisores; Si no manejas cartas, no tienes esas relaciones.
  2. Debido a que el estándar PCI " representa un conjunto común de herramientas y medidas de la industria para ayudar a garantizar el manejo seguro de información confidencial ", es útil y relevante para clasificar códigos, números de enrutamiento bancario y números de cuenta. Sin embargo, también asume un entorno (generalmente, datos del titular de la tarjeta en movimiento transaccional) que puede no aplicarse, por lo que, como alguien dijo en la otra publicación que vinculó, las partes de PCI pueden ser irrelevantes o contraproducentes para su problema particular.
  3. No le puede hacer daño hablar con su banco sobre cualquier consejo o normativa que considere relevante. Cuando use el término "códigos de clasificación" asumo que está en Europa y no tengo idea de qué otras regulaciones (consensuales o gubernamentales) se aplicarían a usted.
  4. La conclusión es que PCI es la seguridad del sentido común, e incluso si posee datos de cuentas que no son de PCI, sería inteligente seguir cualquier parte aplicable y cuidarse de comprender qué no se aplica a su situación. PCI también es el estándar de mínimo común denominador, por lo que debe continuar mejorando su seguridad desde allí. Buena suerte!
respondido por el gowenfawr 12.08.2011 - 15:15
fuente
4

El propietario del negocio determina lo que se considera sensible. Esto puede o no puede ser delegado a un departamento de seguridad. No está obligado a adherirse a nada excepto a lo que se define por ley o por contrato . Si no tiene un contrato con una compañía de tarjetas de crédito como comerciante, no tiene que preocuparse por PCI. Eso no significa que posiblemente no sea una buena idea.

Su pregunta es amplia y general ... así que creo que sí, debería considerar contratar a un consultor externo. Incluso a partir de esta pregunta, tengo muchas preguntas, especialmente sobre cómo terminaría con la información de la tarjeta de crédito si no maneja los pagos. Debería tener a alguien que pueda decirle qué riesgos enfrenta y una estimación aproximada de lo que se necesita para mitigarlos.

    
respondido por el Jeff Ferland 12.08.2011 - 15:16
fuente

Lea otras preguntas en las etiquetas