Müssen wir PCI-konform sein, um Sozialversicherungsnummern in unserer gehosteten Datenbank zu speichern?

7

Müssen wir PCI-konform sein, um Sozialversicherungsnummern in unserer gehosteten Datenbank zu speichern? Wir hosten eine CRM-Datenbank für gemeinnützige Organisationen in South Carolina.

Jamey McElveen
quelle

Antworten:

6

Nein. PCI-Bereichsdaten sind Kreditkartennummern, die normalerweise als primäre Kontonummer bezeichnet werden. (SCHWENKEN)

Die Definition aus dem Glossar lautet wie folgt:

Akronym für "primäre Kontonummer" und auch als "Kontonummer" bezeichnet. Eindeutige Zahlungskartennummer (normalerweise für Kredit- oder Debitkarten), die den Aussteller und das jeweilige Karteninhaberkonto identifiziert.

Wenn Sie sich jedoch in den USA befinden, unterliegen Sie wahrscheinlich den staatlichen und bundesstaatlichen Gesetzen, indem Sie die Sozialversicherungsnummer speichern, und ich würde vorschlagen, dass Sie sie als PCI-Scope-Daten behandeln. Wenn Sie nicht PCI-konform sind, würde ich die geltenden Gesetze einholen und sie in Ihrer Umgebung so sensibel wie möglich behandeln. Eine gute Idee wäre, einen Anwalt zu konsultieren.

Aus beruflicher Sicht behandle ich solche Daten gerne so sorgfältig wie möglich. Ich denke oft darüber nach, wie die Öffentlichkeit auf meine Handlungen reagieren würde, wenn sie unbeabsichtigt offengelegt würden und so verantwortungsbewusst wie möglich handeln würden.

Warner
quelle
PCI DSS ist sehr streng und hat eigene Prüfungsanforderungen außerhalb von finanziellen, betrieblichen oder anderen Arten von Prüfungen. Da PCI DSS ein privater Datenstandard ist und nicht das Ergebnis von Gesetzen ist, bezweifle ich, dass ein durchschnittlicher Anwalt Fragen besser beantworten kann als einer, der für die Durchführung von PCI-Audits zertifiziert ist. Möglicherweise können Sie sich über den PCI-Fragebogen selbst zertifizieren, wenn Ihr Volumen nicht hoch ist.
jl.
Seine Frage betraf SSN, nicht PCI. Ich könnte alle Fragen zu PCI beantworten.
Warner
3
Obwohl SSNs und PCI nicht miteinander verbunden sind, können Sie schlimmeres tun, als den PCI-Standard als Richtlinie für den Umgang mit SSN-Nummern oder vertraulichen Daten zu verwenden.
Mtinberg
"Seine Frage betraf SSN, jl, nicht PCI. Ich könnte alle Fragen zu PCI beantworten." War mein Beitrag ungenau? War es beleidigend?
jl.
Nicht beleidigend, jl. Ich habe lediglich darauf hingewiesen, dass Ihre Antwort möglicherweise auf eine Fehlinterpretation meiner Aussagen zurückzuführen ist.
Warner
6

Die Bestimmungen zu den Sozialversicherungsnummern selbst unterscheiden sich von den Bestimmungen zu den Standards der Zahlungskartenindustrie.

sysadmin1138
quelle
1

PCI dient zur Zahlungsabwicklung. Wenn Sie keine Zahlungen verarbeiten oder Zahlungsinformationen speichern, sollten Sie aus rechtlicher Sicht nicht PCI-konform sein müssen. Wenn Sie Sozialversicherungsnummern übergeben, sollten Sie sehr vorsichtig sein.

jer.salamon
quelle
Es gibt überhaupt keine gesetzlichen Anforderungen bezüglich der PCI-Konformität, da es sich nicht um ein Bundes- oder Landesgesetz handelt, das mir bekannt ist. Wenn Sie nicht PCI-konform sind, wirkt sich dies wahrscheinlich auf Ihre Beziehung zu Anbietern von Zahlungsabwicklungen und anderen Finanzinstituten aus. Es gibt jedoch keine gesetzlichen Anforderungen, um PCI-konform zu sein. Einige Staaten haben Gesetze erlassen, die einen Teil ihres Rahmens von PCI übernehmen, aber aus einer rein schwarz-weißen Perspektive besteht keine gesetzliche Verpflichtung, PCI-Beschwerden einzureichen. Ich sage nicht, es zu ignorieren oder dass es nicht wichtig ist, nur dass es technisch nicht illegal ist, nicht konform zu sein.
Joeqwerty
Die Einbeziehung kann zu erheblichen finanziellen Sanktionen führen, die gesetzlich vorgeschrieben sind. Zum Beispiel, wenn Sie alte Verschlüsselungen auf Pin-Pads verwenden, sind Sie dafür verantwortlich.
jer.salamon
0

Sie müssen die Datenverschlussstatuten für Ihren Bundesstaat überprüfen. SSNs fallen definitiv unter persönliche Identifikationsinformationen, ebenso wie einige der anderen Daten, die Sie möglicherweise speichern. Sie müssen mindestens die gespeicherten Daten verschlüsseln. Sie müssen auch auf die Zugangskontrollen achten. PCI-DSS ist nicht anwendbar. Abhängig von der Branche, in der Sie tätig sind, gelten möglicherweise das Gramm-Leach-Bliley-Gesetz sowie andere Bundes- und Landesgesetze.

Craig
quelle