La conformité PCI est-elle contrôlée?

10

Après avoir lu les recommandations très formulées concernant le stockage des détails de carte de crédit ici , je dois me demander - ce qui se passe si une entreprise non conforme PCI commence à stocker les détails de la carte de crédit (je suis sûr à 100% qu'il y a des entreprises là-bas Ce faisant).

Par exemple, disons que je n'avais pas posé ma question ici et que je suis allé de l'avant et j'ai simplement décidé de stocker les détails de la carte de crédit du client et d'utiliser un cryptage AES de base. Maintenant quoi? Si nous ne sommes jamais piratés, est-ce que quelqu'un va demander? Visa, ou notre commerçant, voudra-t-il jamais inspecter nos serveurs?

Quelles sont les conséquences de ne pas utiliser une infrastructure conforme PCI?

Avis de non-responsabilité: je comprends - c'est une mauvaise idée et nous ne le ferons pas, mais je suis curieux

Mark Henderson
la source

Réponses:

3

Je m'occupe davantage de la conformité HIPAA / HITECH que de PCI / DSS directement, cependant, HIPAA nécessite également généralement la conformité à PCI / DSS. Pourquoi? On ne sait jamais quand le dossier médical contiendra une copie photo recto et verso d'une carte de crédit. Le plus souvent, ils le font (malheureusement). Cela vient généralement d'une personne qui utilise simplement sa carte pour régler un ticket modérateur. Tout est simplement jeté dans un dossier.

Malheureusement, lorsque ces enregistrements sont «numérisés» par des tiers, le plus souvent, les bases de données résultantes (non chiffrées) contiennent des copies claires des informations CC. Ce n'est pas aussi mauvais qu'il y a quelques années, mais c'est toujours un problème. La cause n'y est pas l'insouciance, son impuissance.

Quelques hôpitaux ont déjà souffert de cette pratique, après que des dossiers ont été volés (physiquement ou électroniquement), ce qui a provoqué des virées shopping.

Avec n'importe quelle norme, une entreprise responsable examinera l' intention derrière la norme et réalisera les problèmes que la norme essaie de résoudre. Il en résulte (assez souvent) un dépassement des exigences de la norme. Autrement dit, si, en effet, vous vous rendez compte que la norme s'applique à vous :)

Si vous avez une violation, une seule violation et avez été malhonnête au sujet de la conformité (en revenant à votre question), vous allez:

  • N'obtenez jamais un autre compte marchand. Oublie ça. Vous pouvez aussi bien fermer votre boutique, vous n'avez aucun moyen d'être payé.

  • Être traîné devant un tribunal civil et payer des dommages et intérêts

  • Peut-être être renvoyé devant un tribunal pénal avec des conséquences plus graves

  • Profitez de payer pour la protection de l'identité de chaque personne affectée pour les années à venir

Si vous avez été honnête et que vous suivez les règles de notification / etc, vous en sortirez probablement avec un peu d'œil au beurre noir, réparerez le trou exploité et recommencerez les affaires comme d'habitude. Aucun système n'est, après tout, 100% imperméable au compromis.

Vous avez probablement raison de supposer que certaines entreprises ne respectent pas la norme. Si nous supposons cela, nous pouvons également supposer qu'ils ont été violés et n'ont tout simplement pas signalé le problème délibérément, ou peut-être (en raison du non-respect) ils n'ont pas réalisé la violation.

Visa / MC / Amex sont très bons pour trouver des modèles, ils retraceront éventuellement une tendance frauduleuse à un seul fournisseur, et ce fournisseur aura beaucoup de problèmes. La clé ici est de les informer immédiatement en cas de violation, ce qui signifie suivre les meilleures pratiques. S'ils doivent «comprendre» et découvrir (sans jeu de mots) que vous êtes le dénominateur commun, cela peut devenir très laid.

Tim Post
la source
Wow, les cartes de crédit dans les dossiers médicaux - cela me rend encore plus reconnaissant du NHS!
Nico Burns
4

Le PCI DSS 10 Common Myths (pdf) parle d'amendes, de frais juridiques et de mauvaises choses générales, donc je pense que vous pouvez supposer que vous seriez poursuivi dans l'oubli si vous mentiez sur le questionnaire :)

JasonBirch
la source
1
Pourquoi les entreprises doivent-elles toujours imprimer ces documents en PDF? Quel est le problème avec une page Web? J'ai vu une fois un PDF d'un fabricant qui était une impression d'une page HTML ...
Mark Henderson
@Farseeker oh, sans blague. Et puis, quand il apparaît dans Google, ils sont comme "Voyez! Je peux avoir ma superbe mise en page DTP et toujours manger du gâteau!"
JasonBirch
2

Même si vous supposez que personne ne souhaite inspecter votre serveur, vous pouvez licencier un employé. Ensuite, cet employé déteste que vous puissiez vous rendre à VISA et vous plaindre de votre manque de respect des normes.

Christian
la source
1

J'ai travaillé pour une entreprise qui suivait le processus de conformité PCI et je dois dire que si vous stockez des informations de carte de crédit et que vous n'êtes pas conforme à la norme PCI, vous mettez votre entreprise en danger.

Vous avez raison en ce que l'industrie des cartes de crédit ne le saura peut-être jamais, mais pourquoi le risquer. Vous devez vous rappeler que si jamais vous avez une violation de la sécurité ou si un vendeur de cartes découvre que vous pouvez perdre votre entreprise et votre réputation.

Beaucoup de gens pensent que parce que cela ne s'est pas encore produit, cela ne se produira pas à l'avenir et c'est tout simplement faux. Faire découvrir un fournisseur CC ou une violation est un cygne noir car il ne faut qu'une seule occurrence pour vous ruiner.

Ben Hoffman
la source
0

Nous travaillons très dur pour ne pas stocker d'informations et nous assurer qu'elles étaient conformes, pas de risque d'ennuis, et assurez-vous que vous utilisez toujours un excellent chariot tel que miva, ou du moins consultez la liste des fournisseurs de chariots qui sont conformes et sont recommandés


la source