Trabajo para un ASP que proporciona soluciones bancarias
- Tarjeta
- Servicios
- Pagos
- ACH
- Banca en línea
- Y otros
Historia anterior: Nuestra compañía proporciona una solución "todo en uno" o partes de ella, estamos limitados por las agencias reguladoras. Uno de los problemas que hemos encontrado, es la retención. Nos detienen para investigar fraudes, transacciones similares a fraudes, etc. Específicamente, mi Gerente me ha preguntado acerca de la retención de weblogs. Su pregunta se centró en la actualización FFIEC 2.0. Al hablar con nuestro Gerente de Cumplimiento, no pudimos encontrar nada específico para discutir la retención de datos. La mayor parte de la información que he visto en el sitio web de FFIEC se centra en las prácticas comerciales y no en TI o Tecnología. Sin embargo, cuando redacté originalmente esta publicación, vi un artículo bastante relevante relacionado con este tema, pero es para PCI. También entiendo que con mi pregunta, tiene pinceladas muy amplias en el sentido de que abrí esta pregunta regulatoria no solo al sector financiero sino también a la atención médica (HIPPA).
Al redactar esta publicación, he visto el tema: Datos Leyes de retención para los ISP en América del Norte así como ¿Cuál es la mejor duración para almacenar el correo electrónico? pero esta pregunta está más en línea con las agencias reguladoras específicas que se enumeran a continuación.
Necesidad de saber si existen requisitos reglamentarios para la retención de registros del servidor web para:
- SAS-70
- FFIEC
- SOX
- HIPPA
Capturamos información de inicio de sesión y se nos ha informado que debemos mantener los datos forenses durante al menos 365 días y los datos por hora durante al menos 30 días.
Por ejemplo, no se pudo encontrar nada que justifique esto en el sitio web de FFIEC. Estoy seguro de que hay guías que abordan esto.
Otras referencias relacionadas con esto Estándar de seguridad de datos de la industria de tarjetas de pago (PCI) página 28
Requisitos de registro para PCI para aplicaciones web
¿Alguna otra idea o sugerencia?