クレジットカード情報の保存、およびPCI SSC/PA-DSS規制がそのようなアクティビティとシステムにどのように適用されるかについては、多くの質問があります。私はこれらの多くを読みましたが、私の質問は、PCIコンプライアンスに関係があるかどうかに関係なく、別の質問に関連しています。
私の質問は、具体的には、私たちがいかなる支払いも取っていないことを考えると、オンラインでソートコードと口座番号を保存することの意味は何ですか?したがって、情報を使用してシステムを介して支払いを行うこととは関係ありませんが、情報を使用して、システムにアクセスできる他のユーザーが支払いを行えるようにします。
私はこの質問を見ました: PCI DSS支払いカードを扱うソリューション以外のソリューションに適用可能ですか? ですが、私は本当に規制と何を知っている必要があります必須です。
開発中のウェブサイトに支払い規定がある場合、アカウント番号の保存が、順守する必要があるPCIコンプライアンスのレベルに影響することを理解しています。
現在、セキュリティの「ベストプラクティス」と見なされるものを順守しているため、SSLの使用、db内の情報の暗号化、ハードウェアファイアウォールを備えた専用サーバーなどですが、これらの「ベストプラクティス」は、開発チームの内部の観点からのものです。 PCI準拠のソフトウェアは、全体的なセキュリティ規制の一部に過ぎません。たとえば、PCIコンプライアンス以外に、機密情報を保存するための明確なルールセットはありますか?たとえば、ISO 27001規格に準拠する義務がありますか?誰が「機密」と見なされる情報を定義するか。
PCIへの準拠とクレジットカードの取り扱いに関する一般的なコンセンサスは、質問する必要がある場合は行うべきではないということです。私は必ずしもそれができるかどうか、またはできるかどうかを尋ねているのではなく、誰かがこの経験を持っているかどうか、そのような分野を専門とするサードパーティのコンサルタントを雇う必要があるかどうかを尋ねています。
ビジネスオーナーは、機密と見なされるものを決定します。これはセキュリティ部門に委任される場合とされない場合があります。 法律または契約によるで定義されているものを除いて、何も順守する義務はありません。販売者としてクレジットカード会社と契約していない場合は、PCIについて心配する必要はありません。それが良い考えではないということではありません。
あなたの質問は広範で包括的なものです...だから私はそうだと思います、あなたは外部のコンサルタントを雇うことを考慮すべきです私自身もこの質問から、特に支払いを処理しなかった場合にクレジットカード情報がどのように扱われるかについて、多くの質問をしています。あなたが直面しているリスクと、リスクを軽減するために何が必要かについての大まかな見積もりを教えてくれる誰かが必要です。