我可以在没有 PCI 合规性的情况下存储用户银行详细信息吗？

Posted 2023-02-22

【中文标题】我可以在没有 PCI 合规性的情况下存储用户银行详细信息吗？

【英文标题】：Can I store user bank details without PCI compliance?

【发布时间】：2019-07-06 23:48:02

【问题描述】：

我们正在开展一个项目，其性质有点像拼车，我读到了 PCI 合规性我知道如果我们要处理信用卡或付款，我们必须遵守 PCI像数据库中的帐号（加密），帐户标题等，我已经阅读过

谁必须符合 PCI 标准？ “如果您接受客户的信用卡，那么您必须符合 PCI”reference

所以如果我们只存储银行帐号而不是信用卡 我们必须遵守 PCI。

【问题讨论】：

我投票结束这个问题，因为它不是一个编程问题。

是的！那里有很多关于 PCI 合规性的帖子。

#*** 是为了帮助开发者，这不仅仅是编程问题。

关于 pci-dss ***.com/questions/tagged/pci-dss的数千个问题

不，但不会有伤害；这是敏感数据，请这样对待

【参考方案1】：

您不必遵守 PCI，因为您已经指出，您不处理信用卡信息。 PCI DSS 是支付卡行业数据安全标准的标准，仅管理信用卡数据。 ACH/银行账户信息显然不属于他们的职权范围。

但是，有关 ACH/银行账户数据的规则受 NACHA 管辖。你确实属于他们的范围，必须遵守their standards。因此，本质上，必须遵循一组类似于 PCI 的标准。因此，如果您希望避免审查和监管，那么您就不走运了。

您还可能受到有关您的数据存储地点和运营地点的法律的约束。您需要咨询律师以获取更多信息。

【讨论】：

这是正确答案。有关您需要遵守的数据安全标准，请参阅 NACHA 规则手册。