Вопросы Теги

Мы должны быть PCI, совместимым для хранения Номеров социального страхования в нашей размещенной базе данных?

Как системный администратор, я предпочитаю, чтобы весь мой тупик считал использование / как их корневой каталог, если у меня нет неопровержимого довода, чтобы иметь реальный корневой каталог.

Корневой каталог может сохранить информацию аутентификации. Например, .ssh/authorized_keys файлы могут действовать как вектор, чтобы позволить людям на систему неумышленно или злонамеренно.

Иначе корневой каталог может быть полезным, если Вы планируете предъявление иска другому UID и планируете наличие локальных конфигураций для при выполнении материала как тот пользователь (я видел это с установками оракула). Я не увлечен такой вещью - я предпочитаю просто иметь сценарий, который я получаю, который настраивает окружение для меня, но различные штрихи...

7
задан 7 September 2010 в 19:04
5 ответов

Нет. Данные объема PCI являются номерами кредитных карт, который обычно упоминается как Первичный номер счета. (PAN)

Определение из глоссария следующие:

Акроним для “первичного номера счета” и также называемый “номером аккаунта”. Уникальное число платежной карты (обычно для кредитных или дебетовых карт), который идентифицирует выпускающего и конкретную учетную запись держателя карты.

Тем не менее, если бы расположено в Соединенных Штатах, Вы, вероятно, подвергнетесь государственным законам и федеральным законам путем хранения номера социального страхования, и я предложил бы, чтобы Вы рассматривали его как данные объема PCI. Если бы Вы не совместимый PCI, я искал бы конкретные применимые законы и рассматривал бы его максимально чувствительный в Вашей среде. Хорошая идея состояла бы в том, чтобы консультироваться с адвокатом.

С профессиональной точки зрения мне нравится рассматривать данные как это максимально тщательно. Я часто рассматриваю, как общественность реагировала бы на мои действия, если бы она должна была быть неумышленно раскрыта и действие максимально ответственно.

6
ответ дан 2 December 2019 в 23:25
  • 1
    PCI DSS, является очень строгим и имеет свои собственные требования аудита за пределами финансовых, операционных, или других типов аудитов. Начиная с PCI DSS является частным стандартом данных и не является результатом законодательства, я сомневаюсь, что средний адвокат сможет ответить на вопросы немного лучше, чем тот, кто, как сертифицируют, выполняет аудиты PCI. Вы смогли самосертифицировать с помощью анкеты PCI, если Ваш объем не является большим. –  jl. 20 July 2010 в 18:07
  • 2
    Его вопрос был о SSN, jl, не PCI. Я смог бы ответить на любые вопросы относительно PCI. –  Warner 20 July 2010 в 18:11
  • 3
    В то время как SSNs и PCI не связаны, Вы могли сделать хуже, чем начать использовать стандарт PCI в качестве инструкции для обработки чисел SSN или любых уязвимых данных. –  mtinberg 20 July 2010 в 19:54
  • 4
    "Его вопрос был о SSN, jl, не PCI. Я смог бы ответить на любые вопросы относительно PCI". Действительно ли мое сообщение было неточно? Действительно ли это было оскорбительным? –  jl. 20 July 2010 в 20:13
  • 5
    , Не оскорбительный, jl. Я просто указывал, что Ваш ответ, возможно, следовал из неверного истолкования того, что я сказал. –  Warner 20 July 2010 в 23:19

Регулирование, окружающее сами Номера социального страхования, отличается, чем регулирование, окружающее Промышленные стандарты Платежной карты.

6
ответ дан 2 December 2019 в 23:25

PCI для обработки платежей, если Ваш не платежи обработки или хранить платежную информацию Вам не придется быть PCI, совместимым от легальной точки зрения. При вручении номеров социального страхования, необходимо быть очень осторожными.

1
ответ дан 2 December 2019 в 23:25
  • 1
    Нет никакого законного требования относительно соответствия PCI вообще, поскольку это не федеральный закон или государственный закон, о котором я знаю. Не быть совместимым PCI будет, вероятно, влиять на Ваши отношения с поставщиками обработки платежей и другими финансовыми учреждениями, но нет никаких законных требований, чтобы быть совместимым PCI. Некоторые состояния ввели в действие законы, которые берут часть их платформы от PCI, но со строго черной и белой точки зрения, нет никакого законного требования, чтобы быть жалобой PCI. Я не говорю для игнорирования itor, что это не важно, только что это не технически недопустимо, чтобы не быть совместимым. –  joeqwerty 20 July 2010 в 18:00
  • 2
    Быть состоявшимся может привести к крутым финансовым штрафам, которые являются законом. Например, если Ваше использующее старое шифрование на контакте заполняет Ваше ответственное. –  jer.salamon 20 July 2010 в 18:31

Необходимо проверить уставы зада данных на состояние. SSNs определенно подпадают под персональную информацию об идентификации, также, как и некоторые из других данных, которые можно хранить. В минимуме необходимо зашифровать хранившие данные. Вы также для обращения внимания на средства управления доступом. PCI-DSS не применим, но в зависимости от промышленности Вы находитесь в, закон о Gramm-Leach-Bliley может применяться, а также другие федеральные и государственные законы.

0
ответ дан 2 December 2019 в 23:25

http://www.nelsonmullins.com/DocumentDepot/June%2025th%20Breach%20Management%20Slides.pdf

Практические советы для освоения системы утечки данных Южной Каролины

0
ответ дан 2 December 2019 в 23:25

Теги

Похожие вопросы