当社のWebアプリケーションでは、お客様が支払い方法として銀行口座情報(口座番号、銀行コード、銀行名)を入力できるようにしています。この情報はどこにも行きません。別のシステムを使用してそのような支払いを処理するのはクライアント次第です。
このデータを保護するために、もしあれば、何をすべきでしょうか?そして、私はこの種のことについての情報をどこで見つけることができますか?
PCIは銀行情報とは何の関係もなく、ホスティングの状況によっては適用できない場合があります。 PA-DSSはWebアプリケーションを扱います。
この情報を受け入れて保存した結果として得られる金銭的利益と比較して、これに伴うリスクを非常に真剣に検討します。この情報のデータ侵害は、多大なリスクと費用にさらされる可能性があります。たとえば、30を超える州には独自のビーチ通知法があり、州の司法長官や顧客などに連絡する必要がある期間のタイムラインがあります。多くの場合、1日か2日しかなく、法定費用だけでも非常に高額になります。 。
それを超えて、あなたは多くの場合、これらの州のほとんどで影響を受けるすべての顧客にメールで通知する責任があります。多くの企業が無料の信用監視を購入/提供することになり、実際の資金や銀行のリソースなど、実際の損失を補うために口座が侵害された銀行や個人から訴えられる可能性があります。業界のベストプラクティスに従わない場合、追加の個人的な責任に直面する可能性があります。これには通常、すべてのリリースと更新のコードとペンテストのレビュー、年次監査、暗号化、ファイル整合性の監視、Webアプリケーションファイアウォールの使用、SIEM、IDS /が含まれます。 IPS、そしてリストは続きます。
これはあなたを怖がらせるためだけではなく、事業の深刻さを伝えるためです。銀行関連のPIIを保管することにした場合は、弁護士または経験豊富な銀行業界のITセキュリティ専門家に相談することを強くお勧めします。少なくとも、私はあなたの地域のいくつかの大手銀行と話をし、あなたが彼らのビジネスクライアントの1人のためにこのようなサービスを運営しているなら彼らが何を必要とするか尋ねます。
免責事項:私は弁護士ではありません。見解や考えは私のものであり、私のものだけです。