Чи перевірено відповідність PCI?

10

Прочитавши дуже чітко сформульовані рекомендації щодо зберігання реквізитів кредитної картки тут , я маю задуматися - що станеться, якщо компанія, яка не відповідає PCI, почне зберігати дані кредитної картки (я на 100% впевнена, що там є компанії роблячи це).

Наприклад, скажімо, що я не ставив тут свого питання, і я заздалегідь вирішив зберегти дані кредитної картки клієнта та застосував деякі основні шифрування AES. А тепер що? Якщо нас ніколи не зламають, хтось запитає? Чи захоче Visa чи наш торговець коли-небудь перевірити наші сервери?

Які наслідки не використовувати інфраструктуру, сумісну з PCI?

Відмова: Я отримую підказку - це погана ідея, і ми не будемо цього робити, але мені цікаво

security  pci-compliance 
Марк Хендерсон
джерело

Відповіді:

3

Я більше стосуюся відповідності HIPAA / HITECH, ніж безпосередньо PCI / DSS, проте HIPAA також зазвичай вимагає дотримання PCI / DSS. Чому? Ніколи не знаєш, коли медичні записи будуть містити передню та задню фотокопію кредитної картки. Найчастіше це роблять (на жаль). Зазвичай це відбувається від того, хто просто використовує їхню карту, щоб здійснити доплату. Все просто кидається в одну папку.

Збентежено, коли ці записи "оцифровуються" третіми особами, частіше за все отримані (незашифровані) бази даних містять чіткі копії інформації CC. Це не так погано, як це було кілька років тому, але це все-таки проблема. Причиною там є недбалість, її неохайність.

Кілька лікарень вже постраждали від цієї практики, після того, як документи були вкрадені (фізично чи в електронному вигляді), в результаті чого були покупок.

З будь-яким стандартом відповідальна компанія погляне на наміри, що стоять за стандартом, і усвідомить проблеми, які стандарт намагається вирішити. Це призводить (досить часто) до перевищення вимог стандарту. Тобто, якщо ви дійсно розумієте, що стандарт стосується вас :)

Якщо у вас є порушення, лише одне порушення та були нечесні щодо відповідності (повертаючись до свого питання), ви:

  • Ніколи не отримуйте іншого рахунку продавця. Просто забудь про це. Ви також можете просто закрити магазин, у вас немає ніякої можливості отримати зарплату.

  • Будуть притягнуті до цивільного суду та повинні виплатити збитки

  • Можливо, буде притягнутий до кримінального суду з більш серйозними наслідками

  • Насолоджуйтесь платою за захист ідентичності для кожної людини, що перебуває на наступних роках

Якщо ви були чесними і дотримуєтесь правил щодо сповіщення / тощо, ви, ймовірно, вийдете з нього трохи чорним оком, виправте будь-яку дірку, яку експлуатували, і повернетесь до справи, як завжди. Зрештою, жодна система не є на 100% непромовною для компромісів.

Ви, мабуть, вірно вважаєте, що деякі компанії не дотримуються стандарту. Якщо ми припустимо це, ми можемо також припустити, що вони були порушені і просто не повідомили про це навмисно, або, можливо, (через те, що вони не виконали), вони не усвідомлювали порушення.

Visa / MC / Amex дуже добре знаходять шаблони, зрештою вони простежать шахрайський тренд до одного постачальника, і цей постачальник матиме досить багато проблем. Основним тут є негайне повідомлення про них у разі порушення, що означає дотримання найкращих практик. Якщо їм доведеться «розібратися в цьому» і виявити (не каламбур), що ти загальний знаменник, це може стати досить потворним.

Тім Пост
джерело
Нічого собі, кредитні картки в медичних записах - це просто робить мене ще більш вдячним для NHS!
Ніко Бернс
4

У PCI DSS 10 Загальні міфи (PDF) говорить про штрафи, судові витрати і загальні погані речі, так що я думаю , що ви можете припустити , ви б подали в суд в Лету , якщо ви збрехали в анкеті :)

ДжейсонБірх
джерело
1
Чому компаніям завжди доводиться друкувати цей матеріал у форматі PDF? Що не так з веб-сторінкою? Я колись бачив PDF від виробника, який роздруковував HTML-сторінку ...
Марк Хендерсон
@Farseeker о, не жартую. І тоді, коли він з’являється в Google, вони виглядають так: "Дивіться! Я можу отримати свій дивовижний макет DTP і все ще їсти торт!"
JasonBirch
2

Навіть якщо ви припускаєте, що ніхто не захоче перевірити ваш сервер, ви можете звільнити працівника. Тоді цей працівник ненавидить, що ви можете зайти до VISA і скаржитися на відсутність дотримання стандартів.

Християнин
джерело
1

Я працював у компанії, яка проходила процес дотримання вимог PCI, і я мушу сказати, якщо ви зберігаєте інформацію про кредитні картки та не сумісні з PCI, ви ставите під ризик свою компанію.

Ви маєте рацію в тому, що індустрія кредитних карт може ніколи не дізнатися, але навіщо ризикувати. Ви повинні пам’ятати, якщо у вас коли-небудь порушується безпека або Продавець картки дізнається, що ви можете втратити свій бізнес та свою репутацію.

Багато людей думають, що тому, що ще не сталося, це не відбудеться в майбутньому, і це просто неправда. Виявлення Постачальника ЦК дізнатися, чи трапляється порушення - це Чорний лебідь, оскільки для того, щоб вас погубити, потрібно лише 1 випадок.

Бен Гофман
джерело
0

Ми працюємо дуже важко, щоб не зберігати будь-яку інформацію та переконайтесь, що вони відповідали, не потребували жодних шансів на проблеми, і будьте впевнені, що ви завжди користуєтеся чудовим кошиком, таким як miva, або принаймні переглядайте список постачальників кошиків, які відповідають і рекомендуються

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.