EDITAR: Esto es para la región del Reino Unido / Europa.
Me he estado rascando la cabeza leyendo otras publicaciones similares a esta sobre el almacenamiento seguro de números de cuenta y enrutamiento bancario. Sé que los números de enrutamiento pueden ser texto simple en una base de datos, ya que están disponibles públicamente. Sin embargo, me preocupa almacenar el número de cuenta. También sé que realmente no puede obtener nada de una cuenta bancaria con solo el enrutamiento y los números de cuenta.
Sé que esta información no cumple con los estándares PCI. Actualmente tenemos una aplicación web empresarial y una base de datos en el mismo servidor, y nos gustaría almacenar algunos detalles de la cuenta aquí para que algunos de nuestros empleados se refieran al realizar facturas, etc. Tenemos un sistema basado en roles / permisos completamente habilitado , para que podamos limitar a quién está disponible esta información.
Mi principal preocupación son nuestros correos electrónicos para esta información. AFAIK, tenemos que enviar una carta de confirmación al cliente cuando cambie alguna parte de su cuenta (como las fechas de cobro, etc.), o hagan una nueva. En esta carta, debe aparecer el número de cuenta bancaria. También deseamos que esta información esté disponible para el cliente en su cuenta del portal en línea (creada por nosotros). ¿Es seguro almacenar el número de cuenta como está (normal) y SOLO incluir el número completo en la carta de papel? El servidor podría ocultar parcial o totalmente la versión en línea, de modo que nunca aparezca en el navegador.
¿O estoy pensando demasiado y voy demasiado lejos? O ¿sería mejor alejarse de esto y enfatizar la palabra NO a mi superior?