Czy sprawdzana jest zgodność PCI?

10

Po przeczytaniu bardzo mocno sformułowanych zaleceń dotyczących przechowywania danych karty kredytowej tutaj , zastanawiam się - co się stanie, jeśli firma niezgodna z PCI zacznie przechowywać dane karty kredytowej (jestem w 100% pewien, że istnieją firmy robiąc to).

Załóżmy na przykład, że nie zadałem tutaj pytania i posunąłem się naprzód, po prostu postanowiłem przechowywać dane karty kredytowej klienta i użyłem podstawowego szyfrowania AES. Co teraz? Jeśli nikt nas nie zhakuje, czy ktoś zapyta? Czy Visa lub nasz handlowiec kiedykolwiek będzie chciał sprawdzić nasze serwery?

Jakie są konsekwencje niestosowania infrastruktury zgodnej ze standardem PCI?

Uwaga: Dostaję podpowiedź - to zły pomysł i nie będziemy tego robić, ale jestem ciekawy

security  pci-compliance 
Mark Henderson
źródło

Odpowiedzi:

3

Bezpośrednio zajmuję się bardziej zgodnością HIPAA / HITECH niż PCI / DSS, jednak HIPAA zwykle wymaga również zgodności z PCI / DSS. Dlaczego? Nigdy nie wiadomo, kiedy dokumentacja medyczna będzie zawierać przednią i tylną kopię zdjęcia karty kredytowej. Najczęściej robią to (niestety). Zwykle pochodzi to od osoby, która po prostu używa swojej karty do rozliczenia współpłatności. Wszystko po prostu rzuca się w jednym folderze.

Żenujące jest, że kiedy te rekordy są „digitalizowane” przez strony trzecie, najczęściej powstałe (niezaszyfrowane) bazy danych zawierają wyraźne kopie informacji CC. Nie jest tak źle, jak kilka lat temu, ale nadal stanowi problem. Przyczyną jest brak niedbalstwa, jego brak jasności.

Kilka szpitali już cierpiało z powodu tej praktyki po kradzieży dokumentacji (fizycznej lub elektronicznej), co spowodowało szaleństwa zakupowe.

W przypadku każdego standardu odpowiedzialna firma przyjrzy się celowi standardu i zda sobie sprawę z problemów, które standard próbuje rozwiązać. Powoduje to (dość często) przekroczenie wymagań normy. To znaczy, jeśli rzeczywiście zdajesz sobie sprawę, że standard dotyczy ciebie :)

Jeśli masz naruszenie, tylko jedno naruszenie i byłeś nieuczciwy w kwestii zgodności (wracając do pytania), będziesz:

  • Nigdy nie uzyskaj innego konta handlowca. Po prostu zapomnij o tym. Równie dobrze możesz po prostu zamknąć sklep, nie masz możliwości otrzymania zapłaty.

  • Wciągnięty do sądu cywilnego i zobowiązany do zapłaty odszkodowania

  • Być może zostaniesz pociągnięty do sądu karnego z poważniejszymi konsekwencjami

  • Ciesz się płaceniem za ochronę tożsamości każdej dotkniętej osoby przez wiele lat

Jeśli byłeś uczciwy i postępowałeś zgodnie z zasadami dotyczącymi powiadomień / itp., Prawdopodobnie wydostaniesz się z niego z odrobiną podbitego oka, napraw wszelkie dziury, które zostały wykorzystane i wrócisz do pracy jak zwykle. Żaden system nie jest jednak w 100% odporny na kompromisy.

Prawdopodobnie masz rację zakładając, że niektóre firmy nie przestrzegają tego standardu. Jeśli założymy to, możemy również założyć, że zostały naruszone i po prostu nie poinformowały o tym umyślnie, a może (z powodu nieprzestrzegania) nie zdały sobie sprawy z naruszenia.

Visa / MC / Amex są bardzo dobrzy w znajdowaniu wzorców, w końcu wyśledzą fałszywy trend z powrotem do jednego dostawcy i ten sprzedawca będzie miał poważne kłopoty. Kluczem jest powiadomienie ich natychmiast w przypadku naruszenia, co oznacza przestrzeganie najlepszych praktyk. Jeśli będą musieli „rozgryźć to” i odkryć (bez słów), że jesteś wspólnym mianownikiem, może być dość brzydko.

Tim Post
źródło
Wow, karty kredytowe w dokumentacji medycznej - to sprawia, że ​​jeszcze bardziej doceniam NHS!
Nico Burns
4

W PCI DSS 10 mitów (pdf) opowiada o grzywny, opłaty prawne i ogólne złe rzeczy, więc myślę, że można zakładać, chcesz być pozwany w zapomnienie, jeśli kłamał na kwestionariuszu :)

JasonBirch
źródło
1
Dlaczego firmy zawsze muszą drukować te rzeczy w plikach PDF? Co jest nie tak ze stroną internetową? Kiedyś widziałem plik PDF od producenta, który był wydrukiem strony HTML ...
Mark Henderson
@Farseeker och, nie żartuję. A potem, kiedy pojawia się w Google, są one jak „Zobacz! Mogę mieć niesamowity układ DTP i nadal jeść ciasto!”
JasonBirch
2

Nawet jeśli zakładasz, że nikt nie chce sprawdzać twojego serwera, możesz zwolnić pracownika. Wtedy ten pracownik nienawidzi, że możesz udać się do VISA i narzekać na brak przestrzegania standardów.

chrześcijanin
źródło
1

Pracowałem dla firmy, która przechodziła proces zgodności PCI i muszę powiedzieć, że jeśli przechowujesz dane karty kredytowej i nie jesteś zgodny z PCI, narażasz swoją firmę na ryzyko.

Masz rację, ponieważ branża kart kredytowych może nigdy się nie dowiedzieć, ale po co ryzykować. Musisz pamiętać, że jeśli kiedykolwiek naruszysz bezpieczeństwo lub sprzedawca kart odkryje, że możesz stracić swój biznes i reputację.

Wiele osób uważa, że ​​ponieważ tak się jeszcze nie stało, że tak się nie stanie w przyszłości, to po prostu nieprawda. Dowiedzenie się od Dostawcy CC lub wystąpienie naruszenia to Czarny Łabędź, ponieważ zniszczenie wymaga tylko 1 wystąpienia.

Ben Hoffman
źródło
0

Pracujemy bardzo ciężko, aby nie przechowywać żadnych informacji i upewnić się, że są one zgodne, nie ma potrzeby na jakiekolwiek kłopoty, i upewnij się, że zawsze używasz świetnego koszyka, takiego jak miva, lub przynajmniej patrzysz na listę dostawców wózków, którzy są zgodni i są zalecane

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.