desenv-web-rp.com

A conformidade com PCI é examinada?

Depois de ler as recomendações muito fortes sobre armazenamento dos detalhes do cartão de crédito aqui , tenho que me perguntar - o que acontece se uma empresa não compatível com PCI começar a armazenar os detalhes do cartão de crédito (estou 100% Certifique-se de que existem empresas por aí fazendo isso).

Por exemplo, digamos que eu não fiz minha pergunta aqui, segui em frente e apenas decidi armazenar os detalhes do cartão de crédito do cliente e usei alguma criptografia AES básica. O que agora? Se nunca formos hackeados, alguém vai perguntar? A Visa, ou nosso comerciante, sempre desejará inspecionar nossos servidores?

Quais são as consequências de não usar a infraestrutura compatível com PCI?

Isenção de responsabilidade: recebo a dica - essa é uma idéia e não faremos isso, mas estou curioso

10
Mark Henderson

Lido mais com a conformidade HIPAA/HITECH do que com o PCI/DSS diretamente, no entanto, o HIPAA também geralmente exige conformidade com o PCI/DSS. Por quê? Você nunca sabe quando os registros médicos conterão uma cópia fotográfica frontal e traseira de um cartão de crédito. Mais frequentemente do que não, eles fazem (infelizmente). Isso geralmente vem de alguém que está usando o cartão para fazer um co-pagamento. Tudo é jogado em uma pasta.

Embaraçosamente, quando esses registros são 'digitalizados' por terceiros, na maioria das vezes os bancos de dados resultantes (não criptografados) contêm cópias claras das informações do CC. Não é tão ruim quanto era há alguns anos atrás, mas ainda é um problema. A causa não é descuido, sua falta de noção.

Alguns hospitais já sofreram com essa prática, depois que os registros foram roubados (física ou eletronicamente), resultando em compras.

Com qualquer padrão, uma empresa responsável analisará a intenção por trás do padrão e perceberá os problemas que o padrão está tentando resolver . Isso resulta (com bastante frequência) em excedendo os requisitos da norma. Ou seja, se você realmente perceber que o padrão se aplica a você :)

Se você tiver uma violação, apenas uma violação e for desonesto em relação à conformidade (voltando à sua pergunta), você:

  • Nunca obtenha outra conta de comerciante. Apenas esqueça. Você também pode simplesmente fechar a loja, não tem como ser pago.

  • Ser levado a tribunal civil e ter que pagar uma indenização

  • Possivelmente ser levado a tribunal criminal com consequências mais graves

  • Desfrute de pagar pela proteção de identidade de todas as pessoas afetadas nos próximos anos

Se você for honesto e seguir as regras sobre notificação/etc, provavelmente sairá dela com um olho roxo, consertará o buraco que foi explorado e voltará aos negócios normalmente. Afinal, nenhum sistema é 100% impermeável ao comprometimento.

Você provavelmente está correto ao supor que algumas empresas não seguem o padrão. Se assumirmos isso, também podemos assumir que eles foram violados e falharam em denunciá-lo deliberadamente, ou talvez (devido ao não cumprimento) não tenham percebido a violação.

Visa/MC/Amex são muito bons em encontrar padrões; eventualmente, eles rastrearão uma tendência fraudulenta de volta a um único fornecedor, e esse fornecedor estará com alguns problemas. A chave aqui é notificá-los imediatamente em caso de violação, o que significa seguir as melhores práticas. Se eles tiverem que "descobrir" e descobrir (sem trocadilhos) que você é o denominador comum, pode ficar bem feio.

3
Tim Post

O PCI DSS 10 mitos comuns (pdf) fala sobre multas, honorários advocatícios e coisas ruins em geral, então eu acho que você pode assumir que seria processado no esquecimento se mentisse no questionário :)

4
JasonBirch

Mesmo quando você assume que ninguém pode querer inspecionar seu servidor, você pode demitir um funcionário. Então esse funcionário odeia que você vá ao VISA e reclame da sua falta de cumprimento dos padrões.

2
Christian

Eu trabalhei para uma empresa que estava passando pelo processo de conformidade com o PCI e devo dizer que, se você está armazenando informações de cartão de crédito e não é compatível com PCI, está colocando sua empresa em risco.

Você está certo de que o setor de cartões de crédito pode nunca descobrir, mas por que arriscar. Você deve se lembrar, se você tiver uma quebra de segurança ou um Fornecedor de cartões descobrir que pode perder seus negócios e sua reputação.

Muitas pessoas pensam que, porque ainda não aconteceu, não acontecerá no futuro e isso é simplesmente falso. Ter um fornecedor de CC descoberto ou ocorrer uma violação é um Black Swan porque leva apenas 1 ocorrência para arruiná-lo.

1
Ben Hoffman

Trabalhamos arduamente para não armazenar informações e garantir a conformidade, sem a possibilidade de problemas e garantir que você sempre use um ótimo carrinho, como o miva, ou pelo menos veja a lista de fornecedores compatíveis e são recomendados

0
Surveillance Solutions Inc