Hay muchas preguntas sobre el almacenamiento de la información de la tarjeta de crédito y sobre cómo se aplican las normas de PCI SSC / PA-DSS a tales actividades y sistemas. He leído muchos de estos, pero mi pregunta se relaciona con una pregunta diferente que puede o no tener algo que ver con el cumplimiento de PCI.
Mi pregunta es específicamente, ¿cuáles son las implicaciones de almacenar códigos de clasificación y números de cuenta en línea, teniendo en cuenta que no estamos realizando ningún tipo de pago? Por lo tanto, no tiene nada que ver con el uso de la información para realizar pagos a través del sistema, sino con la información para permitir que otros usuarios que tienen acceso al sistema puedan realizar pagos.
He echado un vistazo a esta pregunta: ¿Es aplicable el DSS de PCI? ¿A otras soluciones que no sean las relacionadas con las tarjetas de pago? , pero realmente necesito conocer las regulaciones y lo que es obligatorio.
Entiendo que si tuviéramos una disposición de pago en el sitio web que estamos desarrollando, el almacenamiento de los números de cuenta afectaría el nivel de cumplimiento de PCI que deberíamos cumplir.
Actualmente nos adherimos a lo que se consideraría "mejores prácticas" de seguridad, por lo que utilizamos SSL, ciframos la información en la base de datos, un servidor dedicado con firewall de hardware, etc., pero estas "mejores prácticas" son desde un punto de vista interno de Un equipo de desarrollo. Sé que el software en cumplimiento con PCI es solo una parte de las normas de seguridad generales. Fuera del cumplimiento de PCI, ¿hay, por ejemplo, un conjunto definitivo de reglas para almacenar información confidencial? ¿Estamos obligados, por ejemplo, a cumplir con las normas ISO 27001? Quién define qué información se considera "sensible".
El consenso general con respecto al cumplimiento de PCI y el manejo de las tarjetas de crédito es que, si necesita preguntar, no debería hacerlo. No estoy preguntando necesariamente si podemos hacerlo o no, pero si alguien tiene experiencia en esto y si necesitamos contratar a un consultor externo que se especialice en esas áreas.