Mi occupo più della conformità HIPAA / HITECH che PCI / DSS direttamente, tuttavia, HIPAA di solito richiede anche la conformità con PCI / DSS. Perché? Non si sa mai quando le cartelle cliniche conterranno una copia fotografica anteriore e posteriore di una carta di credito. Più spesso, lo fanno (purtroppo). Questo di solito proviene da qualcuno che usa semplicemente la propria carta per saldare un co-pagamento. Tutto viene semplicemente lanciato in una cartella.
In modo imbarazzante, quando questi record vengono "digitalizzati" da terze parti, il più delle volte i database risultanti (non crittografati) contengono copie chiare delle informazioni CC. Non è così male come lo era qualche anno fa, ma è ancora un problema. La causa non è la disattenzione, la sua incapacità.
Alcuni ospedali hanno già sofferto di questa pratica, dopo che i registri sono stati rubati (fisicamente o elettronicamente), provocando acquisti folli.
Con qualsiasi standard, un'azienda responsabile esaminerà l' intento alla base dello standard e realizzerà i problemi che lo standard sta cercando di risolvere. Ciò si traduce (abbastanza spesso) nel superare i requisiti della norma. Cioè, se davvero ti rendi conto che lo standard si applica a te :)
Se hai una violazione, una sola violazione e sei stato disonesto sulla conformità (tornando alla tua domanda), dovrai:
Non ottenere mai un altro account commerciante. Dimenticalo e basta. Puoi anche chiudere il negozio, non hai modo di essere pagato.
Essere portato in tribunale civile e pagare i danni
Forse essere portato in tribunale penale con conseguenze più gravi
Divertiti a pagare per la protezione dell'identità per ogni persona colpita per gli anni a venire
Se sei stato onesto e segui le regole sulla notifica / ecc., Probabilmente ne uscirai con un po 'di occhio nero, risolverai qualsiasi buco è stato sfruttato e tornerai al lavoro come al solito. Dopo tutto, nessun sistema è al 100% impermeabile al compromesso.
Probabilmente hai ragione nel ritenere che alcune aziende non seguano lo standard. Se assumiamo che, possiamo anche presumere che siano stati violati e che non abbiano semplicemente segnalato deliberatamente, o forse (a causa della non conformità) non hanno realizzato la violazione.
Visa / MC / Amex sono molto bravi a trovare modelli, alla fine rintracceranno una tendenza fraudolenta a un singolo fornitore e quel fornitore sarà abbastanza nei guai. La chiave qui è avvisarli immediatamente in caso di violazione, il che significa seguire le migliori pratiche. Se devono "capirlo" e scoprire (senza intendere il gioco di parole) che sei il comune denominatore, può diventare piuttosto brutto.