銀行口座の詳細を保存するための規範とコンプライアンス
私はインド出身で、B2Cサービス製品に取り組んでいます。そこで顧客に送金する必要があるので、銀行口座番号とIFSCコードが必要です。
しかし、これにはいくつかの規範やコンプライアンスがあるのかと思っていました。
ユーザーに銀行口座の詳細をリクエストし、これらの詳細を完全に暗号化およびハッシュ化された方法でサーバーに保存します。これは、スーパー管理者だけが読み取ることができるため、取引を行うことができます。
どのタイプのカード詳細も保存していません、銀行口座番号とIFSCコードのみ。
私はそのような質問をいくつか見つけましたが、それらはカードの詳細を中心としたものでした。カードを扱っていないので、PCI DSSは私たちには適用されません。
RBIまたは他のインド政府機関に従って従う必要がある基準とコンプライアンスは何ですか?
PCI-DSSはクレジットカード番号にのみ適用されるため、銀行口座の詳細のみを保存する場合は対象外です。 RBIは金融機関を規制しているため、あなたもその対象にはなりません。ただし、銀行口座の詳細(顧客の名前を含む)を保存している場合は、データ保護法の対象になります。
ただし、データ保護法では、情報を適切に保護するように指示されており、PCI-DSSほど具体的ではありません。標準の観点からの良い出発点はおそらく NIST 800-122 でしょう。