Müssen wir PCI-konform sein, um Sozialversicherungsnummern in unserer gehosteten Datenbank zu speichern? Wir hosten eine CRM-Datenbank für gemeinnützige Organisationen in South Carolina.
Nein. PCI-Bereichsdaten sind Kreditkartennummern, die normalerweise als primäre Kontonummer bezeichnet werden. (SCHWENKEN)
Die Definition aus dem Glossar lautet wie folgt:
Akronym für "primäre Kontonummer" und auch als "Kontonummer" bezeichnet. Eindeutige Zahlungskartennummer (normalerweise für Kredit- oder Debitkarten), die den Aussteller und das jeweilige Karteninhaberkonto identifiziert.
Wenn Sie sich jedoch in den USA befinden, unterliegen Sie wahrscheinlich den staatlichen und bundesstaatlichen Gesetzen, indem Sie die Sozialversicherungsnummer speichern, und ich würde vorschlagen, dass Sie sie als PCI-Scope-Daten behandeln. Wenn Sie nicht PCI-konform sind, würde ich die geltenden Gesetze einholen und sie in Ihrer Umgebung so sensibel wie möglich behandeln. Eine gute Idee wäre, einen Anwalt zu konsultieren.
Aus beruflicher Sicht behandle ich solche Daten gerne so sorgfältig wie möglich. Ich denke oft darüber nach, wie die Öffentlichkeit auf meine Handlungen reagieren würde, wenn sie unbeabsichtigt offengelegt würden und so verantwortungsbewusst wie möglich handeln würden.
Die Bestimmungen zu den Sozialversicherungsnummern selbst unterscheiden sich von den Bestimmungen zu den Standards der Zahlungskartenindustrie.
quelle
PCI dient zur Zahlungsabwicklung. Wenn Sie keine Zahlungen verarbeiten oder Zahlungsinformationen speichern, sollten Sie aus rechtlicher Sicht nicht PCI-konform sein müssen. Wenn Sie Sozialversicherungsnummern übergeben, sollten Sie sehr vorsichtig sein.
quelle
Sie müssen die Datenverschlussstatuten für Ihren Bundesstaat überprüfen. SSNs fallen definitiv unter persönliche Identifikationsinformationen, ebenso wie einige der anderen Daten, die Sie möglicherweise speichern. Sie müssen mindestens die gespeicherten Daten verschlüsseln. Sie müssen auch auf die Zugangskontrollen achten. PCI-DSS ist nicht anwendbar. Abhängig von der Branche, in der Sie tätig sind, gelten möglicherweise das Gramm-Leach-Bliley-Gesetz sowie andere Bundes- und Landesgesetze.
quelle
http://www.nelsonmullins.com/DocumentDepot/June%2025th%20Breach%20Management%20Slides.pdf
South Carolina Data Breach Survival Guide
quelle