Temos que ser compatíveis com PCI para armazenar os números de seguridade social em nosso banco de dados hospedado?

7

Temos que ser compatíveis com PCI para armazenar os números de seguridade social em nosso banco de dados hospedado? Estamos hospedando um banco de dados de CRM para organizações sem fins lucrativos na Carolina do Sul.

    
por Jamey McElveen 20.07.2010 / 16:09

5 respostas

6

Não. Os dados do escopo do PCI são números de cartão de crédito, que são geralmente chamados de Número da conta principal. (PAN)

A definição do glossário é a seguinte:

Acronym for “primary account number” and also referred to as “account number.” Unique payment card number (typically for credit or debit cards) that identifies the issuer and the particular cardholder account.

No entanto, se estiver localizado nos Estados Unidos, você provavelmente estará sujeito às leis estaduais e federais ao armazenar o número do CPF e eu sugiro que você o trate como dados de escopo do PCI. Se você não for compatível com PCI, eu procurarei as leis específicas aplicáveis e trate-a da maneira mais confidencial possível em seu ambiente. Uma boa ideia seria consultar um advogado.

De uma perspectiva profissional, gosto de tratar os dados da maneira mais cuidadosa possível. Costumo considerar como o público reagiria às minhas ações se fosse revelado de maneira não intencional e agisse da maneira mais responsável possível.

    
por 20.07.2010 / 16:19
6

O regulamento em torno dos próprios Números da Previdência Social é diferente do regulamento em torno dos padrões do Setor de Cartões de Pagamento.

    
por 20.07.2010 / 16:20
1

A PCI é para processamento de pagamentos; se você não estiver processando pagamentos ou armazenando informações de pagamento, não deverá ser compatível com PCI de um ponto de vista legal. Se você está entregando números de seguridade social, deve ter muito cuidado.

    
por 20.07.2010 / 16:21
0

Você precisa verificar os estatutos de violação de dados para seu estado. Os SSNs definitivamente se enquadram em informações de identificação pessoal, assim como alguns dos outros dados que você pode armazenar. No mínimo, você precisa criptografar os dados armazenados. Você também precisa prestar atenção aos controles de acesso. PCI-DSS não é aplicável, mas dependendo da indústria em que você está, Gramm- Lei de Leach-Bliley pode ser aplicada, bem como outras leis federais e estaduais.

    
por 20.07.2010 / 17:53
0

link

Guia de Sobrevivência de Violação de Dados da Carolina do Sul

    
por 20.07.2010 / 19:13