我们是否必须符合PCI规范才能在我们的托pipe数据库中存储社会安全号码? 我们在南卡罗来纳州为非营利组织提供CRM数据库。
PCI范围数据是信用卡号码,通常称为主帐号。 (泛)
术语表的定义如下:
首字母缩写为“主账号”,也称为“账号”。唯一的支付卡号(通常用于信用卡或借记卡),用于识别发卡行和特定的持卡人账户。
不过,如果位于美国,您可能需要通过存储社会安全号码来遵守州和联邦法律,我build议您将其视为PCI范围数据。 如果您不符合PCI标准,我会寻求适用的特定法律,并在您的环境中尽可能敏感。 一个好主意是咨询律师。
从专业angular度来看,我喜欢尽可能小心地对待这些数据。 我经常会考虑公众如何对我的行为作出反应,如果这些行为是无意中透露的,并尽可能负责任地行事。
关于社会安全号码本身的规定与围绕支付卡行业标准的规定不同。
PCI用于支付处理,如果您不处理付款或存储支付信息,您不应该从法律angular度来看符合PCI标准。 如果你正在递交社会安全号码,你应该非常小心。
你需要检查你的状态的数据臀部法规。 SSN绝对属于个人识别信息,就像你可能存储的其他数据一样。 至less,您需要encryption存储的数据。 您还需要注意访问控制。 PCI-DSS不适用,但取决于您所处的行业,可能适用“Gramm-Leach-Bliley Act”以及其他联邦和州法律。