web-dev-qa-db-ja.com

アカウント番号とソートコードをオンラインで保存する

クレジットカード情報の保存、およびPCI SSC/PA-DSS規制がそのようなアクティビティとシステムにどのように適用されるかについては、多くの質問があります。私はこれらの多くを読みましたが、私の質問は、PCIコンプライアンスに関係があるかどうかに関係なく、別の質問に関連しています。

私の質問は、具体的には、私たちがいかなる支払いも取っていないことを考えると、オンラインでソートコードと口座番号を保存することの意味は何ですか?したがって、情報を使用してシステムを介して支払いを行うこととは関係ありませんが、情報を使用して、システムにアクセスできる他のユーザーが支払いを行えるようにします。

私はこの質問を見ました: PCI DSS支払いカードを扱うソリューション以外のソリューションに適用可能ですか? ですが、私は本当に規制と何を知っている必要があります必須です。

開発中のウェブサイトに支払い規定がある場合、アカウント番号の保存が、順守する必要があるPCIコンプライアンスのレベルに影響することを理解しています。

現在、セキュリティの「ベストプラクティス」と見なされるものを順守しているため、SSLの使用、db内の情報の暗号化、ハードウェアファイアウォールを備えた専用サーバーなどですが、これらの「ベストプラクティス」は、開発チームの内部の観点からのものです。 PCI準拠のソフトウェアは、全体的なセキュリティ規制の一部に過ぎません。たとえば、PCIコンプライアンス以外に、機密情報を保存するための明確なルールセットはありますか?たとえば、ISO 27001規格に準拠する義務がありますか?誰が「機密」と見なされる情報を定義するか。

PCIへの準拠とクレジットカードの取り扱いに関する一般的なコンセンサスは、質問する必要がある場合は行うべきではないということです。私は必ずしもそれができるかどうか、またはできるかどうかを尋ねているのではなく、誰かがこの経験を持っているかどうか、そのような分野を専門とするサードパーティのコンサルタントを雇う必要があるかどうかを尋ねています。

9
JonB
  1. クレジットカード、デビットカード、またはその他の関連する支払いカードを扱っていない場合、PCIは、いかなる方法でもその要件に従う義務を負わないという意味でお客様に適用されません。 PCIは、マーチャント、アクワイアラー、および発行銀行の間のビジネス関係によって「強制」されます。カードを扱っていない場合、それらの関係はありません。
  2. PCI標準は「 機密情報の安全な処理を保証するための一般的な業界ツールと測定のセットを表す であるため、コード、銀行のルーティング番号、および口座番号のソートに役立ち、関連性があります。ただし、これは適用されない可能性のある環境(一般的には、トランザクションのカード会員データ)も想定しているため、あなたがリンクした他の投稿で誰かが言ったように、PCIの一部は特定の問題には無関係または逆効果になる場合があります。
  3. 銀行が関連性があると考えるアドバイスや規制について銀行に相談することは害になりません。 「分類コード」という用語を使用している場合、私はあなたがヨーロッパにいると想定しますが、同意または政府によるその他のどのような規則が適用されるかはわかりません。
  4. つまり、PCIは常識的なセキュリティであり、PCI以外のアカウントデータを保持していても、状況に当てはまらないことを注意深く理解しながら、該当する部分を順守することが賢明です。 PCIはまた、共通点が最も低い標準でもあるので、そこからセキュリティを改善し続ける必要があります。幸運を!
6
gowenfawr

ビジネスオーナーは、機密と見なされるものを決定します。これはセキュリティ部門に委任される場合とされない場合があります。 法律または契約によるで定義されているものを除いて、何も順守する義務はありません。販売者としてクレジットカード会社と契約していない場合は、PCIについて心配する必要はありません。それが良い考えではないということではありません。

あなたの質問は広範で包括的なものです...だから私はそうだと思います、あなたは外部のコンサルタントを雇うことを考慮すべきです私自身もこの質問から、特に支払いを処理しなかった場合にクレジットカード情報がどのように扱われるかについて、多くの質問をしています。あなたが直面しているリスクと、リスクを軽減するために何が必要かについての大まかな見積もりを教えてくれる誰かが必要です。

4
Jeff Ferland