¿Se analiza el cumplimiento de PCI?

10

Después de leer las recomendaciones muy enérgicas sobre el almacenamiento de los detalles de la tarjeta de crédito aquí , me pregunto qué pasará si una compañía que no cumple con PCI comienza a almacenar los detalles de la tarjeta de crédito (estoy 100% seguro de que hay compañías por ahí) haciendo esto).

Por ejemplo, digamos que no había hecho mi pregunta aquí y seguí adelante y decidí almacenar los detalles de la tarjeta de crédito del cliente y usé un cifrado AES básico. ¿Ahora que? Si nunca nos piratean, ¿alguien va a preguntar? ¿Visa o nuestro comerciante querrán inspeccionar nuestros servidores?

¿Cuáles son las consecuencias de no usar una infraestructura compatible con PCI?

Descargo de responsabilidad: entiendo la pista: esta es una mala idea y no lo haremos, pero tengo curiosidad

security  pci-compliance 
Mark Henderson
fuente

Respuestas:

3

Trato más con el cumplimiento de HIPAA / HITECH que con PCI / DSS directamente, sin embargo, HIPAA generalmente también requiere el cumplimiento de PCI / DSS. ¿Por qué? Nunca se sabe cuándo los registros médicos contendrán una copia fotográfica frontal y posterior de una tarjeta de crédito. Más a menudo que no, lo hacen (tristemente). Esto generalmente proviene de alguien que solo usa su tarjeta para liquidar un copago. Todo simplemente se arroja en una carpeta.

De manera vergonzosa, cuando estos registros son 'digitalizados' por terceros, la mayoría de las veces las bases de datos resultantes (sin cifrar) contienen copias claras de la información de CC. No es tan malo como lo fue hace unos años, pero sigue siendo un problema. La causa no es descuido, es desorientación.

Algunos hospitales ya han sufrido esta práctica, después de que los registros fueron robados (física o electrónicamente), lo que resultó en compras.

Con cualquier estándar, una compañía responsable analizará la intención detrás del estándar y se dará cuenta de los problemas que el estándar está tratando de resolver. Esto resulta (con bastante frecuencia) en exceder los requisitos de la norma. Es decir, si realmente te das cuenta de que el estándar se aplica a ti :)

Si tiene una infracción, solo una infracción y fue deshonesto sobre el cumplimiento (volviendo a su pregunta), usted:

  • Nunca obtenga otra cuenta de comerciante. Solo olvídalo. También puede cerrar la tienda, no tiene forma de que le paguen.

  • Ser llevado a un tribunal civil y pagar daños y perjuicios.

  • Posiblemente sea llevado a la corte penal con consecuencias más serias

  • Disfrute pagando por la protección de identidad de cada persona afectada en los años venideros.

Si fue honesto y siguió las reglas sobre notificación / etc., probablemente saldrá de esto con un poco de ojo morado, arregle cualquier agujero que haya sido explotado y vuelva a los negocios como siempre. Después de todo, ningún sistema es 100% impermeable al compromiso.

Probablemente tenga razón al suponer que algunas empresas no siguen el estándar. Si asumimos eso, también podemos suponer que han sido violados y simplemente no lograron informarlo deliberadamente, o tal vez (debido al incumplimiento) no se dieron cuenta de la violación.

Visa / MC / Amex son muy buenos para encontrar patrones, eventualmente rastrearán una tendencia fraudulenta hasta un solo proveedor, y ese proveedor tendrá muchos problemas. La clave aquí es notificarlos de inmediato en caso de incumplimiento, lo que significa seguir las mejores prácticas. Si tienen que "resolverlo" y descubrir (sin juego de palabras) que usted es el denominador común, puede ponerse bastante feo.

Tim Post
fuente
Wow, tarjetas de crédito en registros médicos: ¡esto me hace aún más agradecido por el NHS!
Nico Burns
4

El PCI DSS 10 Common Myths (pdf) habla sobre multas, honorarios legales y cosas malas en general, por lo que creo que puede asumir que lo demandarán al olvido si mintió en el cuestionario :)

JasonBirch
fuente
1
¿Por qué las empresas siempre tienen que imprimir estas cosas en PDF? ¿Qué hay de malo en una página web? Una vez vi un PDF de un fabricante que era una copia impresa de una página HTML ...
Mark Henderson
@ Farseeker oh, no es broma. Y luego, cuando aparece en Google, dicen "¡Mira! ¡Puedo tener mi increíble diseño DTP y aún así comer pastel!"
JasonBirch
2

Incluso cuando asume que nadie querrá inspeccionar su servidor, puede despedir a un empleado. Entonces ese empleado odia que usted pueda ir a VISA y quejarse de su falta de seguir los estándares.

cristiano
fuente
1

Trabajé para una compañía que estaba pasando por el proceso de cumplimiento de PCI y tengo que decir que si está almacenando información de tarjeta de crédito y no cumple con PCI, está poniendo en riesgo a su compañía.

Tiene razón en que la industria de las tarjetas de crédito nunca puede descubrirlo, pero ¿por qué arriesgarse? Debe recordar que si alguna vez tiene una infracción de seguridad o un proveedor de tarjetas descubre que puede perder su negocio y su reputación.

Muchas personas piensan que porque aún no ha sucedido, no sucederá en el futuro y eso es simplemente falso. Hacer que un proveedor de CC lo descubra o se produzca una violación es un cisne negro porque solo se necesita 1 vez para arruinarte.

Ben Hoffman
fuente
0

Trabajamos muy duro para no almacenar ninguna información y asegurarnos de que cumplan con los requisitos, sin necesidad de ninguna posibilidad de problemas, y asegúrese de usar siempre un gran carro como miva, o al menos mirar la lista de proveedores de carros que cumplen y son recomendados

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.