Le stockage des combinaisons de numéros de routage de compte bancaire relève-t-il des règles de conformité PCI DSS niveau 1?
J'ai examiné un certain nombre de fils de questions/réponses et de documents sur la conformité PCI, y compris divers résultats sur Google et je n'ai pas trouvé de réponse définitive à cette question:
Une application Web relève-t-elle des règles/regs de conformité PCI si elle collecte la combinaison de numéro de routage de compte bancaire via un formulaire Web et la transmet à un tiers pour la persistance/validation (en supposant qu'elle enregistre également les demandes Web en transit)?
Puisque PCI signifie Paiement Carte Industrie, la réponse courte est non.
Cependant, ces informations sont sensibles, vous devez donc les traiter comme toutes les autres données sensibles et les stocker et les transmettre sous une forme sécurisée et cryptée.
PCI est une excellente base de référence pour traiter toutes les données sécurisées, il ne serait donc certainement pas difficile de les traiter de la même manière.
Tout d'abord - merci d'avoir posé la question. Deuxièmement, l'intimé qui a déclaré son IPI et devrait être protégé est exact.
Au minimum, j'emploierais un chiffrement au niveau du champ. En plus de l'architecture à plusieurs niveaux pour une application sur un site qui gère cela - ou envisagez d'externaliser la gestion des paiements à un tiers, en évitant de nombreux problèmes.
Nous gérons les paiements pour quelques centaines de milliers de transactions par mois et nous ne touchons pas aux cartes de crédit en interne (petit nombre pour nous), nous utilisons des contrôles de type PCI pour vérifier dans les limites de notre logiciel financier et tirer parti du chiffrement au niveau du champ des numéros de compte Active Shooter - location = une atténuation.