it-swarm-es.com

¿Se analiza el cumplimiento de PCI?

Después de leer las recomendaciones muy redactadas con respecto a almacenamiento de los detalles de la tarjeta de crédito aquí , debo preguntarme: ¿qué sucede si una empresa que no cumple con PCI comienza a almacenar los detalles de la tarjeta de crédito (estoy 100% seguro de que hay empresas por ahí haciendo esto).

Por ejemplo, digamos que no había hecho mi pregunta aquí y seguí adelante y decidí almacenar los datos de la tarjeta de crédito del cliente y usé un cifrado AES básico. ¿Ahora que? Si nunca nos piratean, ¿alguien va a preguntar? ¿Visa o nuestro comerciante querrán inspeccionar nuestros servidores?

¿Cuáles son las consecuencias de no usar una infraestructura compatible con PCI?

Descargo de responsabilidad: entiendo la sugerencia: esta es una idea mala y no lo haremos, pero tengo curiosidad

10
Mark Henderson

Trato más con el cumplimiento de HIPAA/HITECH que con PCI/DSS directamente, sin embargo, HIPAA generalmente también requiere el cumplimiento de PCI/DSS. ¿Por qué? Nunca se sabe cuándo los registros médicos contendrán una copia fotográfica frontal y posterior de una tarjeta de crédito. Más a menudo que no, lo hacen (tristemente). Esto generalmente proviene de alguien que solo usa su tarjeta para liquidar un copago. Todo simplemente se arroja en una carpeta.

Es vergonzoso, cuando estos registros son 'digitalizados' por terceros, la mayoría de las veces las bases de datos resultantes (sin cifrar) contienen copias claras de la información CC. No es tan malo como lo fue hace unos años, pero sigue siendo un problema. La causa no es el descuido, su desorientación.

Algunos hospitales ya han sufrido esta práctica, después de que los registros fueron robados (física o electrónicamente), lo que resultó en compras.

Con cualquier estándar, una compañía responsable observará la intención detrás del estándar y se dará cuenta de los problemas que el estándar está tratando de resolver . Esto resulta (bastante a menudo) en excediendo los requisitos del estándar. Es decir, si realmente te das cuenta de que el estándar se aplica a ti :)

Si tiene una infracción, solo una infracción y fue deshonesto sobre el cumplimiento (volviendo a su pregunta), usted:

  • Nunca obtenga otra cuenta de comerciante. Solo olvídalo. También puede cerrar la tienda, no tiene forma de que le paguen.

  • Ser llevado a un tribunal civil y pagar daños y perjuicios.

  • Posiblemente sea llevado a la corte penal con consecuencias más serias

  • Disfrute pagando por la protección de identidad de cada persona afectada en los años venideros.

Si fue honesto y siguió las reglas sobre notificación/etc., probablemente saldrá de esto con un poco de ojo morado, arregle cualquier agujero que haya sido explotado y vuelva a los negocios como siempre. Después de todo, ningún sistema es 100% impermeable al compromiso.

Probablemente tenga razón al suponer que algunas empresas no siguen el estándar. Si asumimos eso, también podemos suponer que han sido violados y simplemente no lograron informarlo deliberadamente, o tal vez (debido al incumplimiento) no se dieron cuenta de la violación.

Visa/MC/Amex son muy buenos para encontrar patrones, eventualmente rastrearán una tendencia fraudulenta a un solo proveedor, y ese vendedor tendrá muchos problemas. La clave aquí es notificarlos inmediatamente en caso de incumplimiento, lo que significa seguir las mejores prácticas. Si tienen que "descubrirlo" y descubrir (sin juego de palabras) que usted es el denominador común, puede ponerse bastante feo.

3
Tim Post

El PCI DSS 10 Mitos comunes (pdf) habla sobre multas, honorarios legales y cosas malas en general, por lo que creo que puede asumir que sería demandado al olvido si mintió en el cuestionario :)

4
JasonBirch

Incluso cuando asume que nadie querrá inspeccionar su servidor, puede despedir a un empleado. Entonces ese empleado odia que usted pueda ir a VISA y quejarse de su falta de seguir los estándares.

2
Christian

Trabajé para una empresa que estaba pasando por el proceso de cumplimiento de PCI y tengo que decir que si está almacenando información de tarjeta de crédito y no cumple con PCI, está poniendo en riesgo a su empresa.

Tiene razón en que la industria de las tarjetas de crédito nunca se enterará, pero ¿por qué arriesgarse? Debe recordar que si alguna vez tiene una infracción de seguridad o un proveedor de tarjetas descubre que puede perder su negocio y su reputación.

Muchas personas piensan que debido a que aún no ha sucedido, no sucederá en el futuro y eso es simplemente falso. Hacer que un proveedor CC lo descubra o se produzca una violación es un Black Swan porque solo se necesita 1 vez para arruinarte.

1
Ben Hoffman

Trabajamos muy duro para no almacenar ninguna información y asegurarnos de que cumplan con los requisitos, sin necesidad de ninguna posibilidad de problemas, y asegúrese de usar siempre un gran carrito como miva, o al menos mirar la lista de proveedores de carrito que cumplen y son recomendados