it-swarm.it

La conformità PCI è sottoposta a controllo?

Dopo aver letto le raccomandazioni formulate in modo molto forte per quanto riguarda memorizzazione dei dettagli della carta di credito qui , devo chiedermi: cosa succede se un'azienda non conforme al PCI inizia a memorizzare i dettagli della carta di credito (sono al 100% certo che ci sono aziende là fuori che lo fanno).

Ad esempio, supponiamo di non aver posto la mia domanda qui e ho fatto progressi e ho semplicemente deciso di archiviare i dettagli della carta di credito del cliente e ho utilizzato una crittografia AES di base. E adesso? Se non veniamo mai hackerati, qualcuno lo chiederà? Visa o il nostro commerciante vorranno mai ispezionare i nostri server?

Quali sono le conseguenze del mancato utilizzo dell'infrastruttura conforme PCI?

Disclaimer: ottengo il suggerimento: questa è un'idea cattiva e non lo faremo, ma sono curioso

10
Mark Henderson

Mi occupo più della conformità HIPAA/HITECH che PCI/DSS direttamente, tuttavia, HIPAA di solito richiede anche la conformità con PCI/DSS. Perché? Non si sa mai quando le cartelle cliniche conterranno una copia fotografica anteriore e posteriore di una carta di credito. Più spesso, lo fanno (purtroppo). Questo di solito proviene da qualcuno che usa semplicemente la propria carta per saldare un co-pagamento. Tutto viene semplicemente lanciato in una cartella.

In modo imbarazzante, quando questi record vengono "digitalizzati" da terze parti, il più delle volte i database risultanti (non crittografati) contengono copie chiare delle informazioni CC. Non è così grave come qualche anno fa, ma è ancora un problema. La causa non è la disattenzione, la sua incapacità.

Alcuni ospedali hanno già sofferto di questa pratica, dopo che i registri sono stati rubati (fisicamente o elettronicamente), provocando acquisti folli.

Con qualsiasi standard, un'azienda responsabile esaminerà l'intento dietro lo standard e realizzerà i problemi che lo standard sta cercando di risolvere . Ciò si traduce (abbastanza spesso) in superando i requisiti della norma. Cioè, se davvero ti rendi conto che lo standard si applica a te :)

Se hai una violazione, una sola violazione e sei stato disonesto sulla conformità (tornando alla tua domanda), dovrai:

  • Non ottenere mai un altro account commerciante. Dimenticalo e basta. Puoi anche chiudere il negozio, non hai modo di essere pagato.

  • Essere portato in tribunale civile e pagare i danni

  • Forse essere portato in tribunale penale con conseguenze più gravi

  • Divertiti a pagare per la protezione dell'identità per ogni persona colpita per gli anni a venire

Se sei onesto e segui le regole sulla notifica/ecc., Probabilmente ne uscirai con un po 'di occhio nero, risolverai qualsiasi buco è stato sfruttato e tornerai al lavoro come al solito. Dopo tutto, nessun sistema è al 100% impermeabile al compromesso.

Probabilmente hai ragione nel ritenere che alcune aziende non seguano lo standard. Se lo ipotizziamo, possiamo anche presumere che siano stati violati e che non siano riusciti a segnalarlo deliberatamente, o che forse (a causa del mancato rispetto) non abbiano realizzato la violazione.

Visa/MC/Amex sono molto bravi a trovare schemi, alla fine tracceranno una tendenza fraudolenta di nuovo a un singolo fornitore, e quel venditore sarà un bel po 'di problemi. La chiave qui è avvisarli immediatamente in caso di violazione, il che significa seguire le migliori pratiche. Se devono "capirlo" e scoprire (senza intendere il gioco di parole) che sei il comune denominatore, può diventare piuttosto brutto.

3
Tim Post

PCI DSS 10 Common Myths (pdf) parla di multe, spese legali e cose generiche, quindi penso che tu possa presumere che verrai citato in giudizio se mentissi sul questionario :)

4
JasonBirch

Anche quando presumi che nessuno possa voler ispezionare il tuo server, potresti licenziare un dipendente. Quindi quel dipendente odia che tu possa andare al VISA e lamentarti della tua mancanza nel seguire gli standard.

2
Christian

Ho lavorato per un'azienda che stava attraversando il processo di conformità PCI e devo dire che se stai memorizzando le informazioni sulla carta di credito e non sei conforme PCI stai mettendo a rischio la tua azienda.

Hai ragione nel dire che l'industria delle carte di credito potrebbe non scoprirlo mai, ma perché rischiare. Devi ricordare, se hai mai avuto una violazione della sicurezza o se un venditore di carte scopre che puoi perdere la tua attività e la tua reputazione.

Molte persone pensano che, poiché non è ancora successo, non accadrà in futuro e questo è semplicemente falso. Avere scoperto un provider CC o verificarsi una violazione è un Black Swan perché ci vuole solo 1 occorrenza per rovinarti.

1
Ben Hoffman

Ci impegniamo a fondo per non memorizzare alcuna informazione e assicurarci che siano conformi, senza necessità di alcuna possibilità di problemi, ed essere sicuri di utilizzare sempre un ottimo carrello come miva, o almeno guardare l'elenco dei fornitori di carrelli che sono conformi e sono consigliati