web-dev-qa-db-ja.com

銀行口座ルーティング番号の組み合わせの保存は、PCI DSSレベル1コンプライアンスルールに該当しますか?

私は、Googleでのさまざまな結果を含め、PCIコンプライアンスに関するいくつかの質問/回答スレッドとドキュメントを調べましたが、この質問に対する明確な答えは見つかりませんでした。

Webフォームを介して銀行口座とルーティングの番号の組み合わせを収集し、永続化/検証のためにサードパーティに渡す場合、WebアプリはPCIコンプライアンスルール/規制に該当しますか(転送中のWebリクエストもログに記録すると想定)

23
zealoushacker

PCIは支払いの略ですカード業界短い答えはノーです。

ただし、その情報は機密情報であるため、他の機密データと同様に扱い、安全な暗号化形式で保存して送信する必要があります。

PCIは安全なデータを処理するための優れたベースラインであるため、同じように扱うことは確かに害にはなりません。

15
mjallday

まず、質問していただきありがとうございます。第二に、そのPIIを述べ、保護されるべきである回答者は正確です。

少なくとも、フィールドレベルの暗号化を採用します。これを管理するサイト上のアプリのN層アーキテクチャーとともに、または支払い管理をサードパーティにアウトソーシングして、多くの問題を回避することを検討してください。

私たちは毎月数十万件のトランザクションの支払いを管理しており、社内でクレジットカードに触れることはありません(私たちの場合は少数)。金融ソフトウェアの制限内でチェックする場合は、PCIのようなコントロールを使用し、口座番号のフィールドレベルの暗号化を活用しますアクティブシューター-場所=軽減策。

3
Isaac