it-swarm-id.com

Apakah kepatuhan PCI diperiksa dengan cermat?

Setelah membaca rekomendasi yang sangat kuat mengenai penyimpanan detail kartu kredit di sini , saya harus bertanya-tanya - apa yang terjadi jika perusahaan yang tidak mematuhi PCI mulai menyimpan detail kartu kredit (saya 100% yakin bahwa ada perusahaan di luar sana yang melakukan ini).

Sebagai contoh, katakanlah saya tidak mengajukan pertanyaan saya di sini dan saya terus maju dan hanya memutuskan untuk menyimpan rincian kartu kredit pelanggan dan menggunakan beberapa enkripsi AES dasar. Sekarang apa? Jika kita tidak pernah diretas, adakah yang akan bertanya? Apakah Visa, atau pedagang kami, ingin memeriksa server kami?

Apa konsekuensi dari tidak menggunakan infrastruktur yang sesuai PCI?

Penafian: Saya mendapatkan petunjuk - ini adalah ide buruk dan kami tidak akan melakukannya, tapi saya ingin tahu

10
Mark Henderson

Saya lebih banyak berurusan dengan kepatuhan HIPAA/HITECH daripada PCI/DSS secara langsung, namun, HIPAA juga biasanya mengharuskan kepatuhan dengan PCI/DSS. Mengapa? Anda tidak pernah tahu kapan catatan medis akan berisi salinan foto depan dan belakang dari kartu kredit. Lebih sering daripada tidak, mereka melakukannya (dengan sedih). Ini biasanya berasal dari seseorang yang hanya menggunakan kartu mereka untuk menyelesaikan pembayaran bersama. Semuanya baru saja dilempar ke dalam satu folder.

Yang memalukan, ketika catatan ini 'didigitalkan' oleh pihak ketiga, lebih sering daripada yang dihasilkan (tidak terenkripsi) database berisi clear salinan dari info CC. Ini tidak seburuk beberapa tahun yang lalu, tetapi masih menjadi masalah. Penyebabnya adalah tidak ada kecerobohan, ketidaktahuannya.

Beberapa rumah sakit telah menderita dari praktik ini, setelah catatan dicuri (secara fisik atau elektronik), mengakibatkan belanja besar-besaran.

Dengan standar apa pun, perusahaan yang bertanggung jawab akan melihat niat di belakang standar dan menyadari masalah yang berusaha diselesaikan oleh standar tersebut. . Ini menghasilkan (cukup sering) di melebihi persyaratan standar. Artinya, jika, memang Anda menyadari bahwa standar itu berlaku untuk Anda :)

Jika Anda memiliki pelanggaran, cukup satu pelanggaran dan tidak jujur ​​tentang kepatuhan (kembali ke pertanyaan Anda), Anda akan:

  • Jangan pernah mendapatkan akun pedagang lain. Lupakanlah. Anda mungkin juga hanya menutup toko, Anda tidak memiliki cara untuk mendapatkan bayaran.

  • Diangkut ke pengadilan sipil dan harus membayar ganti rugi

  • Mungkin diangkut ke pengadilan pidana dengan konsekuensi yang lebih serius

  • Nikmati pembayaran untuk perlindungan identitas untuk setiap orang yang terkena dampak selama bertahun-tahun yang akan datang

Jika Anda jujur, dan ikuti aturan tentang pemberitahuan/dll, Anda mungkin akan keluar dengan sedikit mata hitam, memperbaiki lubang apa pun yang dieksploitasi dan kembali ke bisnis seperti biasa. Bagaimanapun, tidak ada sistem yang 100% tahan terhadap kompromi.

Anda mungkin benar dalam mengasumsikan bahwa beberapa perusahaan tidak mengikuti standar. Jika kita menganggap itu, kita juga dapat berasumsi bahwa mereka telah dilanggar dan gagal melaporkannya dengan sengaja, atau mungkin (karena tidak mematuhi) mereka tidak menyadari pelanggaran tersebut.

Visa/MC/Amex adalah sangat pandai menemukan pola, akhirnya mereka akan melacak tren penipuan kembali ke satu vendor, dan vendor itu akan mengalami sedikit masalah. Kuncinya di sini adalah segera memberi tahu mereka jika terjadi pelanggaran, yang berarti mengikuti praktik terbaik. Jika mereka harus 'mencari tahu' dan menemukan (tidak ada permainan kata-kata) bahwa Anda adalah penyebut yang sama, itu bisa menjadi sangat jelek.

3
Tim Post

The PCI DSS 10 Common Myths (pdf) berbicara tentang denda, biaya hukum, dan hal-hal buruk umum, jadi saya pikir Anda dapat mengasumsikan Anda akan dituntut dilupakan jika Anda berbohong pada kuesioner :)

4
JasonBirch

Bahkan ketika Anda berasumsi bahwa tidak ada yang mungkin ingin memeriksa server Anda, Anda mungkin memecat seorang karyawan. Kemudian karyawan itu membenci Anda mungkin pergi ke VISA dan mengeluh tentang kurangnya Anda mengikuti standar.

2
Christian

Saya bekerja untuk perusahaan yang sedang menjalani proses kepatuhan PCI dan saya harus mengatakan, jika Anda menyimpan info kartu kredit dan tidak memenuhi PCI, Anda menempatkan perusahaan Anda dalam risiko.

Anda benar karena industri Kartu Kredit mungkin tidak pernah tahu tetapi mengapa harus mengambil risiko. Anda harus ingat, jika Anda pernah memiliki pelanggaran keamanan atau Vendor Kartu tahu Anda dapat kehilangan bisnis dan reputasi Anda.

Banyak orang berpikir bahwa karena itu belum terjadi, itu tidak akan terjadi di masa depan dan itu sama sekali salah. Memiliki Penyedia CC mencari tahu atau terjadi pelanggaran adalah Black Swan karena hanya perlu 1 kejadian untuk menghancurkan Anda.

1
Ben Hoffman

Kami bekerja sangat keras untuk tidak menyimpan info apa pun dan pastikan telah memenuhi persyaratan, tidak perlu ada kemungkinan masalah, dan pastikan Anda selalu menggunakan keranjang hebat seperti miva, atau setidaknya lihat daftar penyedia keranjang yang sesuai dan direkomendasikan