我们是否必须符合 PCI 标准才能在我们的托管数据库中存储社会安全号码?我们正在为南卡罗来纳州的非营利组织托管 CRM 数据库。
不可以。PCI 范围数据是信用卡号,通常称为主帐号。(平底锅)
词汇表中的定义如下:
“主要帐号”的首字母缩写,也称为“帐号”。识别发卡机构和特定持卡人账户的唯一支付卡号(通常用于信用卡或借记卡)。
然而,如果位于美国,您可能会因存储社会安全号码而受到州和联邦法律的约束,我建议您将其视为 PCI 范围数据。如果您不符合 PCI 标准,我会寻求适用的特定法律,并在您的环境中尽可能敏感地对待它。一个好主意是咨询律师。
从专业的角度来看,我喜欢尽可能小心地对待这样的数据。我经常考虑如果我的行为被无意披露并尽可能负责任地行动,公众会如何反应。