Lido mais com a conformidade HIPAA / HITECH do que com o PCI / DSS diretamente; no entanto, o HIPAA também geralmente exige conformidade com o PCI / DSS. Por quê? Você nunca sabe quando os registros médicos conterão uma cópia fotográfica frontal e traseira de um cartão de crédito. Mais frequentemente do que não, eles fazem (infelizmente). Isso geralmente vem de alguém que está usando o cartão para fazer um co-pagamento. Tudo é jogado em uma pasta.
Embaraçosamente, quando esses registros são 'digitalizados' por terceiros, mais frequentemente, os bancos de dados resultantes (não criptografados) contêm cópias claras das informações do CC. Não é tão ruim quanto era há alguns anos atrás, mas ainda é um problema. A causa não é descuido, sua falta de noção.
Alguns hospitais já sofreram com essa prática, depois que os registros foram roubados (física ou eletronicamente), resultando em compras.
Com qualquer padrão, uma empresa responsável analisará a intenção por trás do padrão e perceberá os problemas que o padrão está tentando resolver. Isso resulta (com bastante frequência) em exceder os requisitos da norma. Ou seja, se você realmente perceber que o padrão se aplica a você :)
Se você tiver uma violação, apenas uma violação e for desonesto em relação à conformidade (voltando à sua pergunta), você:
Nunca obtenha outra conta de comerciante. Apenas esqueça. Você também pode simplesmente fechar a loja, não tem como ser pago.
Ser levado a tribunal civil e ter que pagar uma indenização
Possivelmente ser levado a tribunal criminal com consequências mais graves
Desfrute de pagar pela proteção de identidade de todas as pessoas afetadas nos próximos anos
Se você for honesto e seguir as regras sobre notificação / etc, provavelmente sairá com um olho roxo, consertará qualquer buraco que foi explorado e voltará aos negócios como de costume. Afinal, nenhum sistema é 100% impermeável ao comprometimento.
Você provavelmente está correto ao supor que algumas empresas não seguem o padrão. Se assumirmos isso, também podemos presumir que eles foram violados e falharam em denunciá-lo deliberadamente, ou talvez (devido ao não cumprimento) eles não tenham percebido a violação.
A Visa / MC / Amex é muito boa em encontrar padrões; eventualmente, eles rastrearão uma tendência fraudulenta de volta a um único fornecedor, e esse fornecedor estará com alguns problemas. A chave aqui é notificá-los imediatamente em caso de violação, o que significa seguir as melhores práticas. Se eles tiverem que "descobrir" e descobrir (sem trocadilhos) que você é o denominador comum, pode ficar bem feio.
Os mitos comuns do PCI DSS 10 (pdf) falam sobre multas, honorários advocatícios e coisas ruins em geral, então acho que você pode supor que seria processado no esquecimento se mentisse no questionário :)
fonte
Mesmo quando você assume que ninguém pode querer inspecionar seu servidor, você pode demitir um funcionário. Então esse funcionário odeia que você vá ao VISA e reclame da sua falta de cumprimento dos padrões.
fonte
Eu trabalhei para uma empresa que estava passando pelo processo de conformidade com o PCI e devo dizer que, se você está armazenando informações de cartão de crédito e não é compatível com PCI, está colocando sua empresa em risco.
Você está certo de que o setor de cartões de crédito pode nunca descobrir, mas por que arriscar. Você deve se lembrar, se você tiver uma quebra de segurança ou um Fornecedor de cartões descobrir que pode perder seus negócios e sua reputação.
Muitas pessoas pensam que, porque ainda não aconteceu, não acontecerá no futuro e isso é simplesmente falso. Ter um fornecedor de CC descoberto ou ocorrer uma violação é um Cisne Negro, porque leva apenas 1 ocorrência para arruiná-lo.
fonte
Trabalhamos arduamente para não armazenar informações e garantir a conformidade, sem a possibilidade de problemas e garantir que você sempre use um ótimo carrinho, como o miva, ou pelo menos veja a lista de fornecedores compatíveis e são recomendados
fonte