Проверяется ли соответствие PCI?

10

После прочтения очень строго сформулированных рекомендаций относительно хранения информации о кредитной карте здесь , я должен задаться вопросом - что произойдет, если компания, не поддерживающая PCI, начнет хранить данные о кредитной карте (я на 100% уверен, что есть компании там делая это).

Например, допустим, что я не задавал здесь свой вопрос, я продвинулся вперед и просто решил сохранить данные кредитной карты клиента и использовал базовое шифрование AES. Что теперь? Если нас никогда не взломают, кто-нибудь спросит? Будет ли Visa или наш продавец когда-нибудь проверять наши серверы?

Каковы последствия отсутствия использования PCI-совместимой инфраструктуры?

Правовая оговорка: я понимаю подсказку - это плохая идея, и мы не будем делать это, но мне любопытно

security  pci-compliance 
Марк Хендерсон
источник

Ответы:

3

Я имею дело больше с соответствием HIPAA / HITECH, чем с PCI / DSS напрямую, однако HIPAA также обычно требует соответствия с PCI / DSS. Почему? Вы никогда не знаете, когда медицинские карты будут содержать лицевую и оборотную копию кредитной карты. Чаще всего они это делают (к сожалению). Обычно это происходит от того, что кто-то просто использует свою карту для оплаты доплаты. Все просто подбрасывается в одну папку.

Смущает то, что когда эти записи «оцифровываются» третьими лицами, чаще всего результирующие (незашифрованные) базы данных содержат четкие копии информации CC. Это не так плохо, как это было несколько лет назад, но это все еще проблема. Причиной здесь не небрежность, а ее невежество.

Несколько больниц уже пострадали от этой практики, после того как записи были украдены (физически или электронно), что привело к покупкам.

При любом стандарте ответственная компания рассмотрит цель, стоящую за стандартом, и поймет проблемы, которые стандарт пытается решить. Это приводит (довольно часто) к превышению требований стандарта. То есть если действительно понимаешь, что стандарт относится к тебе :)

Если у вас есть нарушение, всего одно нарушение, и вы нечестны в отношении соблюдения (возвращаясь к вашему вопросу), вы будете:

  • Никогда не получите другой торговый счет. Просто забудь об этом. С таким же успехом вы можете просто закрыть магазин, у вас нет возможности получить оплату.

  • Быть привлеченным в гражданский суд и должен возместить ущерб

  • Возможно быть привлеченным к уголовному суду с более серьезными последствиями

  • Наслаждайтесь оплатой защиты личности каждого пострадавшего на долгие годы

Если вы были честны и следовали правилам об уведомлении и т. Д., Вы, скорее всего, выйдете из этого черным глазом, исправите любую дыру и вернетесь к работе в обычном режиме. В конце концов, ни одна система не является на 100% непроницаемой для компромисса.

Вы, вероятно, правы, полагая, что некоторые компании не следуют стандарту. Если мы предположим, что мы можем также предположить, что они были нарушены и просто не сообщили об этом намеренно, или, возможно, (из-за несоблюдения) они не осознали нарушение.

Visa / MC / Amex очень хороши в поиске паттернов, в конечном итоге они проследят мошенническую тенденцию до одного поставщика, и у этого поставщика будет немало проблем. Ключевым моментом здесь является немедленно уведомить их в случае нарушения, что означает следование передовой практике. Если им придется «разобраться» и обнаружить (не каламбур), что вы являетесь общим знаменателем, это может стать довольно уродливым.

Тим Пост
источник
Ничего себе, кредитные карты в медицинских картах - это только делает меня еще более благодарным NHS!
Нико Бернс
4

В PCI DSS 10 Common Myths (pdf) говорится о штрафах, судебных издержках и общих плохих вещах, поэтому я думаю, что вы можете предположить, что вас забьют, если вы солгали в вопроснике :)

JasonBirch
источник
1
Почему компании всегда должны печатать этот материал в формате PDF? Что не так с веб-страницей? Однажды я увидел PDF от производителя, который был распечаткой HTML-страницы ...
Марк Хендерсон,
@ Искательница, не шучу. А потом, когда он появляется в Google, они выглядят так: «Видите! У меня может быть отличная компоновка DTP и я все еще ем торт!»
JasonBirch
2

Даже если вы предполагаете, что никто не захочет проверять ваш сервер, вы можете уволить сотрудника. Тогда этот сотрудник ненавидит вас, вы можете пойти в VISA и жаловаться на то, что вы не соблюдаете стандарты.

Кристиан
источник
1

Я работал в компании, которая проходила процесс соответствия PCI, и должен сказать, что если вы храните информацию о кредитной карте и не соответствует требованиям PCI, вы подвергаете свою компанию риску.

Вы правы в том, что индустрия кредитных карт может никогда не узнать, но зачем рисковать. Вы должны помнить, что если у вас когда-нибудь возникнет нарушение безопасности или продавец карты узнает, что вы можете потерять свой бизнес и свою репутацию.

Многие думают, что поскольку этого еще не произошло, этого не произойдет в будущем, и это просто ложь. Наличие провайдера CC, чтобы узнать или произошло нарушение, является Черным лебедем, потому что это только 1 случай, чтобы разрушить вас.

Бен Хоффман
источник
0

Мы очень усердно работаем, чтобы не хранить никакой информации и убедиться, что она соответствует требованиям, нет необходимости в каких-либо шансах на неприятности, и убедитесь, что вы всегда используете отличную корзину, такую ​​как miva, или, по крайней мере, посмотрите на список поставщиков корзины, которые соответствуют требованиям и рекомендуется

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.