Должны ли мы быть совместимыми с PCI, чтобы хранить номера социального страхования в нашей размещенной базе данных? Мы размещаем базу данных CRM для некоммерческих организаций в Южной Каролине.
Правила, касающиеся самих номеров социального страхования, отличаются от правил, касающихся стандартов индустрии платежных карт.
Нет. Данные области PCI - это номера кредитных карт, которые обычно называют номером основного счета. (КАСТРЮЛЯ)
Определение из глоссарий как следует:
Акроним от «номера основного счета», также называемый «номер счета». Уникальный номер платежной карты (обычно для кредитных или дебетовых карт), который идентифицирует эмитента и конкретный счет держателя карты.
Тем не менее, если вы находитесь в Соединенных Штатах, вы, скорее всего, будете подчиняться законам штата и федеральным законам, сохраняя номер социального страхования, и я бы посоветовал вам рассматривать его как данные об объеме PCI. Если вы не соответствуете требованиям PCI, я хотел бы узнать о конкретных применимых законах и рассматривать их как можно более чувствительно в вашей среде. Хорошая идея - проконсультироваться с юристом.
С профессиональной точки зрения мне нравится обращаться с такими данными как можно более внимательно. Я часто думаю, как бы общественность отреагировала на мои действия, если бы они были непреднамеренно раскрыты, и действовала бы как можно более ответственно.
PCI предназначен для обработки платежей, если вы не обрабатываете платежи или не храните платежную информацию, вы не должны соответствовать требованиям PCI с юридической точки зрения. Если вы передаете номера социального страхования, будьте очень осторожны.
Вам необходимо проверить данные казенного устава для вашего штата. SSN определенно подпадают под личную идентификационную информацию, как и некоторые другие данные, которые вы можете хранить. Как минимум, вам необходимо зашифровать сохраненные данные. Вам также нужно обратить внимание на контроль доступа. PCI-DSS не применяется, но в зависимости от отрасли, в которой вы работаете, Закон Грэмма-Лича-Блайли могут применяться, а также другие федеральные законы и законы штата.
http://www.nelsonmullins.com/DocumentDepot/June%2025th%20Breach%20Management%20Slides.pdf
Руководство по выживанию после нарушения данных в Южной Каролине