我们是否必须符合 PCI 规范才能将社会安全号码存储在托管数据库中?我们正在为南卡罗来纳州的非营利组织托管 CRM 数据库。
答案1
不是。PCI 范围数据是信用卡号,通常称为主帐号。(PAN)
来自的定义词汇表如下:
“主帐号”的缩写,也称为“帐号”。唯一的支付卡号(通常用于信用卡或借记卡),用于识别发卡机构和特定持卡人的帐户。
尽管如此,如果您位于美国,存储社会安全号码可能会受到州和联邦法律的约束,我建议您将其视为 PCI 范围数据。如果您不符合 PCI 要求,我会寻求适用的特定法律,并在您的环境中尽可能敏感地对待它。一个好主意是咨询律师。
从专业角度来看,我喜欢尽可能谨慎地对待此类数据。我经常考虑如果我的行为被无意中泄露,公众会如何反应,并尽可能负责任地行事。
答案2
有关社会安全号码本身的规定与有关支付卡行业标准的规定不同。
答案3
PCI 用于支付处理,如果您不处理付款或存储付款信息,从法律角度来看您不必遵守 PCI。如果您要处理社会安全号码,则应非常小心。