A conformidade com PCI é examinada?

10

Depois de ler as recomendações muito fortes sobre o armazenamento de detalhes do cartão de crédito aqui , tenho que me perguntar: o que acontece se uma empresa não compatível com PCI começar a armazenar os detalhes do cartão de crédito (tenho 100% de certeza de que existem empresas por aí Fazendo isso).

Por exemplo, digamos que eu não fiz minha pergunta aqui, segui em frente e apenas decidi armazenar os detalhes do cartão de crédito do cliente e usei alguma criptografia AES básica. O que agora? Se nunca formos hackeados, alguém vai perguntar? A Visa, ou nosso comerciante, sempre desejará inspecionar nossos servidores?

Quais são as consequências de não usar a infraestrutura compatível com PCI?

Isenção de responsabilidade: recebo a dica - essa é uma péssima ideia e não faremos isso, mas estou curioso

Mark Henderson
fonte

Respostas:

3

Lido mais com a conformidade HIPAA / HITECH do que com o PCI / DSS diretamente; no entanto, o HIPAA também geralmente exige conformidade com o PCI / DSS. Por quê? Você nunca sabe quando os registros médicos conterão uma cópia fotográfica frontal e traseira de um cartão de crédito. Mais frequentemente do que não, eles fazem (infelizmente). Isso geralmente vem de alguém que está usando o cartão para fazer um co-pagamento. Tudo é jogado em uma pasta.

Embaraçosamente, quando esses registros são 'digitalizados' por terceiros, mais frequentemente, os bancos de dados resultantes (não criptografados) contêm cópias claras das informações do CC. Não é tão ruim quanto era há alguns anos atrás, mas ainda é um problema. A causa não é descuido, sua falta de noção.

Alguns hospitais já sofreram com essa prática, depois que os registros foram roubados (física ou eletronicamente), resultando em compras.

Com qualquer padrão, uma empresa responsável analisará a intenção por trás do padrão e perceberá os problemas que o padrão está tentando resolver. Isso resulta (com bastante frequência) em exceder os requisitos da norma. Ou seja, se você realmente perceber que o padrão se aplica a você :)

Se você tiver uma violação, apenas uma violação e for desonesto em relação à conformidade (voltando à sua pergunta), você:

  • Nunca obtenha outra conta de comerciante. Apenas esqueça. Você também pode simplesmente fechar a loja, não tem como ser pago.

  • Ser levado a tribunal civil e ter que pagar uma indenização

  • Possivelmente ser levado a tribunal criminal com consequências mais graves

  • Desfrute de pagar pela proteção de identidade de todas as pessoas afetadas nos próximos anos

Se você for honesto e seguir as regras sobre notificação / etc, provavelmente sairá com um olho roxo, consertará qualquer buraco que foi explorado e voltará aos negócios como de costume. Afinal, nenhum sistema é 100% impermeável ao comprometimento.

Você provavelmente está correto ao supor que algumas empresas não seguem o padrão. Se assumirmos isso, também podemos presumir que eles foram violados e falharam em denunciá-lo deliberadamente, ou talvez (devido ao não cumprimento) eles não tenham percebido a violação.

A Visa / MC / Amex é muito boa em encontrar padrões; eventualmente, eles rastrearão uma tendência fraudulenta de volta a um único fornecedor, e esse fornecedor estará com alguns problemas. A chave aqui é notificá-los imediatamente em caso de violação, o que significa seguir as melhores práticas. Se eles tiverem que "descobrir" e descobrir (sem trocadilhos) que você é o denominador comum, pode ficar bem feio.

Tim Post
fonte
Uau, cartões de crédito em registros médicos - isso me deixa ainda mais agradecido pelo NHS!
Nico Burns
4

Os mitos comuns do PCI DSS 10 (pdf) falam sobre multas, honorários advocatícios e coisas ruins em geral, então acho que você pode supor que seria processado no esquecimento se mentisse no questionário :)

JasonBirch
fonte
11
Por que as empresas sempre precisam imprimir essas coisas em PDFs? O que há de errado com uma página da web? Uma vez vi um PDF de um fabricante que era uma impressão de uma página HTML ...
Mark Henderson
@ Farseeker oh, sem brincadeira. E então, quando aparece no Google, eles são como "Veja! Eu posso ter meu layout DTP incrível e ainda comer bolo!"
JasonBirch
2

Mesmo quando você assume que ninguém pode querer inspecionar seu servidor, você pode demitir um funcionário. Então esse funcionário odeia que você vá ao VISA e reclame da sua falta de cumprimento dos padrões.

cristão
fonte
1

Eu trabalhei para uma empresa que estava passando pelo processo de conformidade com o PCI e devo dizer que, se você está armazenando informações de cartão de crédito e não é compatível com PCI, está colocando sua empresa em risco.

Você está certo de que o setor de cartões de crédito pode nunca descobrir, mas por que arriscar. Você deve se lembrar, se você tiver uma quebra de segurança ou um Fornecedor de cartões descobrir que pode perder seus negócios e sua reputação.

Muitas pessoas pensam que, porque ainda não aconteceu, não acontecerá no futuro e isso é simplesmente falso. Ter um fornecedor de CC descoberto ou ocorrer uma violação é um Cisne Negro, porque leva apenas 1 ocorrência para arruiná-lo.

Ben Hoffman
fonte
0

Trabalhamos arduamente para não armazenar informações e garantir a conformidade, sem a possibilidade de problemas e garantir que você sempre use um ótimo carrinho, como o miva, ou pelo menos veja a lista de fornecedores compatíveis e são recomendados


fonte