Хранение банковских данных: неясность стандарта PCI DSS и вопросы легальности

Согласно стандарту PCI DSS, хранение данных банковских карт должно осуществляться в соответствии со строгими требованиями, включая безопасность передачи данных и надежность хранения. В случае, если необходимы только 16 цифр без дополнительных данных, то хранение такой информации может быть проведено в соответствии со стандартом PCI DSS. Однако, необходимо обратить внимание на дополнительные требования, такие как установка соответствующих замков на оборудовании, использование шифрования, установка физической защиты оборудования и т.д.

По поводу реквизитов расчетного счета пользователя, стандарт PCI DSS не содержит конкретных требований. В данном случае, необходимо руководствоваться другими законодательными актами, такими как Федеральный закон "О персональных данных".

В целом, рекомендуется обратиться за консультацией к квалифицированным юристам в области защиты персональных данных, чтобы убедиться в соответствии хранения информации с требованиями законодательства Российской Федерации.

Для ответа на данный вопрос я бы сначала уточнил, какие данные и для каких целей точно собираются и хранятся. В соответствии с законодательством Российской Федерации в области персональных данных, сбор и обработка персональных данных, включая данные банковских карт, допустимы только при наличии согласия субъекта данных на их обработку и в меру, необходимой для достижения указанных целей. Кроме того, необходимо соблюдать требования, установленные стандартом PCI DSS.

Как правило, хранение полных банковских реквизитов субъекта данных запрещено, и необходимо ограничиваться только необходимыми для осуществления платежей данными, например, только 16 цифрами карты. Однако, даже такая ограниченная информация считается персональными данными и должна обрабатываться в соответствии с требованиями законодательства РФ.

Кроме того, необходимо учитывать, что для соблюдения требований стандарта PCI DSS требуется регулярно проводить аудиты на соответствие стандарту, иметь соответствующую сертификацию и соблюдать все положения стандарта.

Для дальнейшего решения вопроса рекомендуется обратиться к юристам, специализирующимся на защите персональных данных и соблюдении стандарта PCI DSS.

Статья 10 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" ("Оператор персональных данных"), статья 136.1 Уголовного кодекса РФ ("Незаконный доступ к компьютерной информации"), статья 272 Уголовного кодекса РФ ("Нарушение правил обработки персональных данных"), статья 19 Закона РФ от 07.02.1992 № 2300-1 "О защите прав потребителей" ("Обязательная информация о товаре (о товаре, продаваемом на дистанционном способе), сроки оказания услуг"), статья 8 Закона РФ от 27.07.2006 № 152-ФЗ "О персональных данных" ("Цели обработки персональных данных").