it-swarm-eu.dev

Je kontrola souladu s PCI kontrolována?

Po přečtení velmi silně formulovaných doporučení týkajících se ložení údajů o kreditní kartě zde , musím se divit - co se stane, když společnost nepodporující PCI začne ukládat podrobnosti o kreditní kartě (jsem 100% ujistěte se, že existují společnosti, které to dělají).

Řekněme například, že jsem zde nepoložil svou otázku a dopředu jsem se posunul a jen jsem se rozhodl uložit údaje o kreditní kartě zákazníka a použil některé základní šifrování AES. Co teď? Pokud se nikdy nebudeme hacknout, bude se někdo ptát? Chce společnost Visa nebo náš obchodník někdy prohlédnout naše servery?

Jaké jsou důsledky nepoužívání infrastruktury kompatibilní s PCI?

Zřeknutí se odpovědnosti: Mám nápovědu - to je špatný nápad a my to nebudeme dělat, ale jsem zvědavý

10
Mark Henderson

Přímo se zabývám více souladem s HIPAA/HITECH než s PCI/DSS, ale HIPAA také obvykle vyžaduje soulad s PCI/DSS. Proč? Nikdy nevíte, kdy lékařské záznamy budou obsahovat přední a zadní fotokopii kreditní karty. Častěji než ne, bohužel. To obvykle pochází od někoho, kdo právě používá svou kartu k vyrovnání spoluúčasti. Všechno se hodí do jedné složky.

Je trapné, že pokud jsou tyto záznamy „digitalizovány“ třetími stranami, výsledné (nešifrované) databáze častěji obsahují jasné kopie CC informací. Není to tak špatné jako před několika lety, ale je to stále problém. Příčinou není nedbalost, její bezradnost.

Několik nemocnic již trpí touto praxí poté, co byly záznamy odcizeny (fyzicky nebo elektronicky), což mělo za následek nákupy.

Při jakémkoli standardu se odpovědná společnost podívá na záměr za standardem a uvědomí si problémy, které se standard snaží vyřešit . To má za následek (poměrně často) překračující požadavky normy. To znamená, že pokud si opravdu uvědomíte, že se na vás tato norma vztahuje :)

Pokud máte porušení, pouze jedno porušení a jste nepoctiví ohledně dodržování předpisů (vraťte se k vaší otázce), budete:

  • Nikdy nezískávejte jiný účet obchodníka. Jen na to zapomeň. Můžete také jen zavřít obchod, nemáte způsob, jak dostat zaplaceno.

  • Být dopraven k občanskému soudu a musí zaplatit náhradu škody

  • Možná být zatažen před trestní soud s vážnějšími důsledky

  • Užijte si placení za ochranu identity pro každou uskutečněnou osobu pro nadcházející roky

Pokud jste byli upřímní a dodržovali pravidla o oznámení/atd., Pravděpodobně se z toho dostanete s trochou černého oka, opravte jakoukoli vytěženou díru a vraťte se do práce jako obvykle. Žádný systém není koneckonců 100% odolný vůči kompromisům.

Pravděpodobně máte pravdu v předpokladu, že některé společnosti tento standard nedodržují. Pokud to předpokládáme, můžeme také předpokládat, že došlo k jejich porušení a že se jim to nepodařilo nahlásit úmyslně, nebo snad (kvůli nedodržení) toto porušení neuvědomilo.

Visa/MC/Amex jsou velmi dobré v hledání vzorců, nakonec budou sledovat podvodný trend zpět k jedinému prodejci, a tento prodejce bude mít docela potíže. Klíč zde je okamžitě informovat v případě porušení, což znamená dodržovat doporučené postupy. Pokud musí „přijít na to“ a zjistit (není určena žádná hříčka), že jste společným jmenovatelem, může to být docela ošklivé.

3
Tim Post

PCI DSS 10 obyčejných mýtů (pdf) hovoří o pokutách, soudních poplatcích a obecně špatných věcech, takže si myslím, že bys mohl předpokládat, že bys byl žalován, kdybys lhal na dotazníku :)

4
JasonBirch

I když předpokládáte, že nikdo nebude chtít zkontrolovat váš server, můžete propustit zaměstnance. Potom tento zaměstnanec nenávidí, že můžete jít do VISA a stěžovat si na svůj nedostatek dodržování standardů.

2
Christian

Pracoval jsem pro společnost, která prošla procesem dodržování PCI, a musím říct, že pokud ukládáte informace o kreditní kartě a nejste v souladu s PCI, ohrožujete svou společnost.

Máte pravdu v tom, že odvětví kreditních karet se nikdy nemůže dozvědět, ale proč to riskuje. Musíte si pamatovat, že pokud jste někdy porušili zabezpečení nebo zjistí prodejce karet, můžete ztratit své podnikání a svou pověst.

Mnoho lidí si to myslí, protože se to ještě nestalo, že se to nestane v budoucnosti, a to je prostě falešné. To, že poskytovatel CC zjistí nebo dojde k narušení, je Black Swan , protože vám to zničí pouze 1 výskyt.

1
Ben Hoffman

Pracujeme velmi tvrdě, abychom neukládali žádné informace a ujistili se, že jsou v souladu, nepotřebují žádné šance na potíže, a ujistěte se, že vždy používáte skvělý vozík, jako je miva, nebo alespoň podívejte se na seznam poskytovatelů košíku, kteří jsou v souladu a jsou doporučeny