Bezpośrednio zajmuję się bardziej zgodnością HIPAA / HITECH niż PCI / DSS, jednak HIPAA zwykle wymaga również zgodności z PCI / DSS. Dlaczego? Nigdy nie wiadomo, kiedy dokumentacja medyczna będzie zawierać przednią i tylną kopię zdjęcia karty kredytowej. Najczęściej robią to (niestety). Zwykle pochodzi to od osoby, która po prostu używa swojej karty do rozliczenia współpłatności. Wszystko po prostu rzuca się w jednym folderze.
Żenujące jest, że kiedy te rekordy są „digitalizowane” przez strony trzecie, najczęściej powstałe (niezaszyfrowane) bazy danych zawierają wyraźne kopie informacji CC. Nie jest tak źle, jak kilka lat temu, ale nadal stanowi problem. Przyczyną jest brak niedbalstwa, jego brak jasności.
Kilka szpitali już cierpiało z powodu tej praktyki po kradzieży dokumentacji (fizycznej lub elektronicznej), co spowodowało szaleństwa zakupowe.
W przypadku każdego standardu odpowiedzialna firma przyjrzy się celowi standardu i zda sobie sprawę z problemów, które standard próbuje rozwiązać. Powoduje to (dość często) przekroczenie wymagań normy. To znaczy, jeśli rzeczywiście zdajesz sobie sprawę, że standard dotyczy ciebie :)
Jeśli masz naruszenie, tylko jedno naruszenie i byłeś nieuczciwy w kwestii zgodności (wracając do pytania), będziesz:
Nigdy nie uzyskaj innego konta handlowca. Po prostu zapomnij o tym. Równie dobrze możesz po prostu zamknąć sklep, nie masz możliwości otrzymania zapłaty.
Wciągnięty do sądu cywilnego i zobowiązany do zapłaty odszkodowania
Być może zostaniesz pociągnięty do sądu karnego z poważniejszymi konsekwencjami
Ciesz się płaceniem za ochronę tożsamości każdej dotkniętej osoby przez wiele lat
Jeśli byłeś uczciwy i postępowałeś zgodnie z zasadami dotyczącymi powiadomień / itp., Prawdopodobnie wydostaniesz się z niego z odrobiną podbitego oka, napraw wszelkie dziury, które zostały wykorzystane i wrócisz do pracy jak zwykle. Żaden system nie jest jednak w 100% odporny na kompromisy.
Prawdopodobnie masz rację zakładając, że niektóre firmy nie przestrzegają tego standardu. Jeśli założymy to, możemy również założyć, że zostały naruszone i po prostu nie poinformowały o tym umyślnie, a może (z powodu nieprzestrzegania) nie zdały sobie sprawy z naruszenia.
Visa / MC / Amex są bardzo dobrzy w znajdowaniu wzorców, w końcu wyśledzą fałszywy trend z powrotem do jednego dostawcy i ten sprzedawca będzie miał poważne kłopoty. Kluczem jest powiadomienie ich natychmiast w przypadku naruszenia, co oznacza przestrzeganie najlepszych praktyk. Jeśli będą musieli „rozgryźć to” i odkryć (bez słów), że jesteś wspólnym mianownikiem, może być dość brzydko.