在线存储帐号和排序代码

Question

关于信用卡信息的存储以及PCI SSC/PA规则如何适用于此类活动和系统，存在许多问题。我读过很多这些内容，但我的问题涉及一个可能与PCI遵从性无关的不同问题。

我的问题是，考虑到我们没有接受任何形式的支付，在线存储排序代码和帐号意味着什么。因此，与使用信息通过系统进行支付无关，而是使用这些信息来使其他访问该系统的用户能够支付费用。

我已经看过这个问题：PCI是否适用于处理支付卡以外的其他解决方案？，但是我真的需要知道规则和什么是强制性的。

我知道，如果我们在我们正在开发的网站上有付款条款，那么帐号的存储将影响我们需要遵守的PCI遵从程度。

目前，我们坚持安全“最佳实践”，因此使用SSL加密数据库中的信息，使用硬件防火墙等专用服务器，但这些“最佳实践”是从开发团队的内部角度出发的。我知道符合PCI标准的软件只是总体安全法规的一部分。例如，在PCI遵从性之外，是否有一组用于存储敏感信息的明确规则？例如，我们是否有义务遵守ISO 27001标准？谁来定义什么信息被认为是“敏感的”。

对于PCI遵从性和信用卡处理的普遍共识是，如果您需要询问，那么就不应该这样做。我不一定要问我们是否或如何能够做到这一点，但是否有人有这方面的经验，以及我们是否需要聘请一个第三方顾问谁专长于这些领域。

Answer 1

1. 如果您没有处理信用卡，借记卡或其他相关的支付卡，PCI不适用于您，因为您没有义务以任何方式遵循它的要求。PCI是由商人、收购者和发行银行之间的业务关系“强制执行”的；如果您不处理卡片，您就没有这些关系。
2. 因为PCI标准"表示一组通用的工业工具和度量，以帮助确保敏感信息的安全处理。"，它是有用和相关的排序代码，银行路由号码，和帐号。然而，它也假设了一个可能不适用的环境(通常是事务处理中的持卡人数据)，因此，正如有人在您链接的另一篇文章中所说，PCI的部分可能与您的特定问题无关或适得其反。
3. 与你的银行谈论任何他们认为相关的建议或规定都不会对你造成伤害。如果你用“排序码”这个词，我猜你在欧洲，我不知道其他什么法规--自愿的还是政府的--会适用于你。
4. 底线是，PCI是常识的安全，即使持有非PCI帐户数据，您也会明智地跟踪任何适用的部分，同时小心地理解什么不适用于您的情况。PCI也是一个最低的公共分母标准，所以您应该继续从那里提高您的安全性.祝好运!

Answer 2

业务所有者决定什么是敏感的。这可以委托给安全部门，也可以不委托给安全部门。你没有义务遵守任何东西，除非是法律或合同所规定的。如果你没有和信用卡公司签订商业合同，你就不用担心PCI了。这并不意味着这不可能是个好主意。

你的问题很广泛而且很重要..。所以我认为是的，你应该考虑聘请一名外部顾问。即使从这个问题中，我自己也有很多问题，特别是如果你不处理付款，你将如何得到信用卡信息。你应该有一个人能告诉你你所面临的风险，并粗略估计减轻风险所需的代价。