web-dev-qa-db-fra.com

Stockage des numéros de compte et des codes de tri en ligne

Il y a beaucoup de questions sur stocker des informations sur la carte de crédit et sur la manière dont les réglementations PCI SSC/PA-DSS s'appliquent à de telles activités et systèmes. J'ai lu beaucoup d'entre eux, mais ma question concerne une question différente qui peut avoir ou non rien à voir avec la conformité PCI.

Ma question est spécifiquement, quelles sont les implications de stocker des codes de tri et des numéros de compte en ligne, en considérant que nous ne prenons aucun type de paiement. Ainsi, rien à voir avec l'utilisation des informations pour effectuer des paiements via le système, mais en utilisant les informations permettant d'activer les autres utilisateurs qui ont accès au système pour effectuer des paiements.

J'ai examiné cette question: est PCI DSS applicable à d'autres solutions que celles qui traitent de cartes de paiement? , mais j'ai vraiment besoin de connaître la réglementation et quoi est obligatoire.

Je comprends que si nous avons eu une disposition de paiement sur le site Web, nous développons, le stockage des numéros de compte affecterait le niveau de conformité PCI que nous devrions adhérer.

Nous adhérons actuellement à quelles seraient considérées comme la sécurité des "meilleures pratiques" de la sécurité, afin d'utiliser SSL, de crypter des informations dans la DB, du serveur dédié avec un pare-feu matériel, etc., mais ces "meilleures pratiques" sont d'un point de vue interne d'une équipe de développement . Je sais que le logiciel de la conformité PCI n'est qu'un élément de la réglementation globale de la sécurité. En dehors de la conformité PCI, est là, par exemple, un ensemble définitif de règles pour stocker des informations sensibles? Sommes-nous par exemple obligés d'adhérer aux normes ISO 27001? Qui définit quelles informations sont considérées comme "sensibles".

Le consensus général concernant la conformité PCI et le traitement des cartes de crédit est si vous devez vous demander, alors vous ne devriez pas le faire. Je ne demande pas nécessairement si ou comment nous pouvons le faire ou non, mais si quelqu'un en a de l'expérience, et si nous devons engager un consultant tiers spécialisé dans ces domaines.

compliancepci-dss
9
JonB
  1. Si vous ne manipulez pas les cartes de crédit, les cartes de débit ou d'autres cartes de paiement connexes, PCI ne s'applique pas à vous en ce sens que vous n'êtes pas enregistré pour suivre ses exigences de quelque manière que ce soit. PCI est "appliquée" par les relations commerciales entre commerçants, acquéreurs et banques émettrices; Si vous ne manipulez pas de cartes, vous n'avez pas ces relations.
  2. Étant donné que la norme PCI " représente un ensemble commun d'outils et de mesures pour aider à assurer la gestion sûre des informations sensibles ", il est utile et pertinent pour trier les codes, les numéros de routage bancaire et les numéros de compte. Cependant, il suppose également un environnement (généralement des données du titulaire de la carte en mouvement transactionnel) qui peut ne pas s'appliquer, de sorte que quelqu'un a dit dans l'autre poste que vous avez lié, des parties de PCI peuvent être non pertinentes ou contre-productives pour votre problème particulier.
  3. Il ne peut pas vous faire mal de parler à votre banque de conseils ou de règlements qu'ils considèrent pertinents. Lorsque vous utilisez le terme "codes de tri", je suppose que vous êtes en Europe et je ne sais pas quels autres règlements - consensuels ou gouvernementaux - s'appliqueraient à vous.
  4. Le résultat final est que PCI est une sécurité de bon sens, et même si la maintien des données de compte non PCI, vous seriez intelligemment de suivre toutes les pièces applicables tout en veillant à comprendre ce qui ne s'applique pas à votre situation. PCI est également une norme de dénominateur la plus faible, vous devriez donc continuer à améliorer votre sécurité à partir de là. Bonne chance!
6
gowenfawr

Le propriétaire d'entreprise détermine ce qui est considéré comme sensible. Cela peut être délégué ou non à un service de sécurité. Vous n'êtes pas obligé d'adhérer à quoi que ce soit, sauf ce qui est défini par -loi ou par contrat. Si vous n'êtes pas dans un contrat avec une société de carte de crédit en tant que commerçant, vous n'avez pas à vous préoccuper de PCI. Cela ne signifie pas que ce n'est peut-être pas une bonne idée.

Votre question est large et globale ... Donc, je pense que oui, vous devriez envisager d'engager un consultant extérieur. Même de cette question, j'ai moi-même de nombreuses questions, en particulier sur la manière dont vous vous retrouveriez avec des informations de carte de crédit si vous ne gérez pas les paiements. Vous devriez avoir quelqu'un qui peut vous dire quels risques vous faites face et une estimation approximative de ce qu'il faut pour les atténuer.

4
Jeff Ferland