La conformità PCI viene esaminata?


10

Dopo aver letto le raccomandazioni formulate in modo molto forte in merito alla memorizzazione dei dettagli della carta di credito qui , devo chiedermi: cosa succede se un'azienda non conforme al PCI inizia a memorizzare i dettagli della carta di credito (sono sicuro al 100% che ci sono aziende là fuori facendo questo).

Ad esempio, supponiamo di non aver posto la mia domanda qui e ho fatto progressi e ho semplicemente deciso di archiviare i dettagli della carta di credito del cliente e ho utilizzato una crittografia AES di base. E adesso? Se non veniamo mai hackerati, qualcuno lo chiederà? Visa o il nostro commerciante vorranno mai ispezionare i nostri server?

Quali sono le conseguenze del mancato utilizzo dell'infrastruttura conforme PCI?

Disclaimer: ho il suggerimento: questa è una cattiva idea e non lo faremo, ma sono curioso

Risposte:


3

Mi occupo più della conformità HIPAA / HITECH che PCI / DSS direttamente, tuttavia, HIPAA di solito richiede anche la conformità con PCI / DSS. Perché? Non si sa mai quando le cartelle cliniche conterranno una copia fotografica anteriore e posteriore di una carta di credito. Più spesso, lo fanno (purtroppo). Questo di solito proviene da qualcuno che usa semplicemente la propria carta per saldare un co-pagamento. Tutto viene semplicemente lanciato in una cartella.

In modo imbarazzante, quando questi record vengono "digitalizzati" da terze parti, il più delle volte i database risultanti (non crittografati) contengono copie chiare delle informazioni CC. Non è così male come lo era qualche anno fa, ma è ancora un problema. La causa non è la disattenzione, la sua incapacità.

Alcuni ospedali hanno già sofferto di questa pratica, dopo che i registri sono stati rubati (fisicamente o elettronicamente), provocando acquisti folli.

Con qualsiasi standard, un'azienda responsabile esaminerà l' intento alla base dello standard e realizzerà i problemi che lo standard sta cercando di risolvere. Ciò si traduce (abbastanza spesso) nel superare i requisiti della norma. Cioè, se davvero ti rendi conto che lo standard si applica a te :)

Se hai una violazione, una sola violazione e sei stato disonesto sulla conformità (tornando alla tua domanda), dovrai:

  • Non ottenere mai un altro account commerciante. Dimenticalo e basta. Puoi anche chiudere il negozio, non hai modo di essere pagato.

  • Essere portato in tribunale civile e pagare i danni

  • Forse essere portato in tribunale penale con conseguenze più gravi

  • Divertiti a pagare per la protezione dell'identità per ogni persona colpita per gli anni a venire

Se sei stato onesto e segui le regole sulla notifica / ecc., Probabilmente ne uscirai con un po 'di occhio nero, risolverai qualsiasi buco è stato sfruttato e tornerai al lavoro come al solito. Dopo tutto, nessun sistema è al 100% impermeabile al compromesso.

Probabilmente hai ragione nel ritenere che alcune aziende non seguano lo standard. Se assumiamo che, possiamo anche presumere che siano stati violati e che non abbiano semplicemente segnalato deliberatamente, o forse (a causa della non conformità) non hanno realizzato la violazione.

Visa / MC / Amex sono molto bravi a trovare modelli, alla fine rintracceranno una tendenza fraudolenta a un singolo fornitore e quel fornitore sarà abbastanza nei guai. La chiave qui è avvisarli immediatamente in caso di violazione, il che significa seguire le migliori pratiche. Se devono "capirlo" e scoprire (senza intendere il gioco di parole) che sei il comune denominatore, può diventare piuttosto brutto.


Caspita, carte di credito nelle cartelle cliniche - questo mi rende ancora più riconoscente del SSN!
Nico Burns,

4

I PCI DSS 10 miti comuni (pdf) parla di multe, spese legali, e cose cattive generali, quindi penso che si può supporre che ci si essere citato nel dimenticatoio se hai mentito sul questionario :)


1
Perché le aziende devono sempre stampare queste cose in PDF? Cosa c'è che non va in una pagina web? Una volta ho visto un PDF da un produttore che era una stampa di una pagina HTML ...
Mark Henderson

@Farseeker oh, non sto scherzando. E poi quando appare in Google sono come "Vedi! Posso avere il mio fantastico layout DTP e ancora mangiare la torta!"
JasonBirch,

2

Anche quando presumi che nessuno possa voler ispezionare il tuo server, potresti licenziare un dipendente. Quindi quel dipendente odia che tu possa andare al VISA e lamentarti della tua mancanza nel seguire gli standard.


1

Ho lavorato per un'azienda che stava attraversando il processo di conformità PCI e devo dire che se stai memorizzando le informazioni sulla carta di credito e non sei conforme PCI stai mettendo a rischio la tua azienda.

Hai ragione nel dire che l'industria delle carte di credito potrebbe non scoprirlo mai, ma perché rischiare. Devi ricordare che se hai mai violato la sicurezza o se un venditore di carte scopre che puoi perdere la tua attività e la tua reputazione.

Molte persone pensano che, poiché non è ancora successo, non accadrà in futuro e questo è semplicemente falso. Avere scoperto un provider CC o verificarsi una violazione è un cigno nero perché ci vuole solo 1 ricorrenza per rovinarti.


0

Ci impegniamo a fondo per non memorizzare alcuna informazione e assicurarci che siano conformi, senza necessità di alcuna possibilità di problemi, ed essere sicuri di utilizzare sempre un ottimo carrello come miva, o almeno guardare l'elenco dei fornitori di carrelli che sono conformi e sono consigliati

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.