Là tuân thủ PCI được xem xét kỹ lưỡng?

10

Sau khi đọc các khuyến nghị được diễn đạt mạnh mẽ về việc lưu trữ chi tiết thẻ tín dụng ở đây , tôi đã tự hỏi - điều gì xảy ra nếu một công ty không tuân thủ PCI bắt đầu lưu trữ chi tiết thẻ tín dụng (Tôi chắc chắn 100% rằng có các công ty ngoài đó làm điều này).

Ví dụ: giả sử tôi đã không hỏi câu hỏi của mình ở đây và tôi đã giả mạo trước và chỉ quyết định lưu trữ chi tiết thẻ tín dụng của khách hàng và sử dụng một số mã hóa AES cơ bản. Giờ thì sao? Nếu chúng tôi không bao giờ bị hack, có ai sẽ hỏi không? Visa, hoặc thương gia của chúng tôi, có bao giờ muốn kiểm tra máy chủ của chúng tôi không?

Hậu quả của việc không sử dụng cơ sở hạ tầng tuân thủ PCI là gì?

Tuyên bố miễn trừ trách nhiệm: Tôi nhận được gợi ý - đây là một ý tưởng tồi và chúng tôi sẽ không thực hiện nó, nhưng tôi tò mò

security  pci-compliance 
Mark Henderson
nguồn

Câu trả lời:

3

Tôi xử lý nhiều hơn với việc tuân thủ HIPAA / HITECH so với trực tiếp PCI / DSS, tuy nhiên, HIPAA cũng thường yêu cầu tuân thủ PCI / DSS. Tại sao? Bạn không bao giờ biết khi nào hồ sơ y tế sẽ chứa một bản sao ảnh mặt trước và mặt sau của thẻ tín dụng. Thường xuyên hơn không, họ làm (đáng buồn). Điều này thường đến từ một người nào đó chỉ sử dụng thẻ của họ để giải quyết một khoản đồng thanh toán. Tất cả mọi thứ chỉ được ném vào một thư mục.

Xấu hổ thay, khi các hồ sơ này được 'số hóa' bởi các bên thứ ba, thường xuyên hơn là các cơ sở dữ liệu kết quả (không được mã hóa) có chứa các bản sao rõ ràng của thông tin CC. Nó không tệ như vài năm trước, nhưng nó vẫn là một vấn đề. Nguyên nhân không có sự bất cẩn, không biết gì.

Một vài bệnh viện đã phải chịu đựng thông lệ này, sau khi hồ sơ bị đánh cắp (vật lý hoặc điện tử), dẫn đến việc mua sắm.

Với bất kỳ tiêu chuẩn nào, một công ty có trách nhiệm sẽ xem xét ý định đằng sau tiêu chuẩn và nhận ra những vấn đề mà tiêu chuẩn đang cố gắng giải quyết. Kết quả này (khá thường xuyên) trong việc vượt quá các yêu cầu của tiêu chuẩn. Đó là, nếu, thực sự bạn nhận ra rằng tiêu chuẩn áp dụng cho bạn :)

Nếu bạn có một vi phạm, chỉ cần một vi phạm và không trung thực về việc tuân thủ (quay lại câu hỏi của bạn), bạn sẽ:

  • Không bao giờ có được một tài khoản thương mại khác. Hãy quên nó đi. Bạn cũng có thể chỉ cần đóng cửa hàng, bạn không có cách nào để được trả tiền.

  • Bị lôi ra tòa án dân sự và phải bồi thường thiệt hại

  • Có thể bị đưa vào tòa án hình sự với hậu quả nghiêm trọng hơn

  • Thích trả tiền để bảo vệ danh tính cho mọi người bị ảnh hưởng trong nhiều năm tới

Nếu bạn trung thực và tuân theo các quy tắc về thông báo / v.v., bạn có thể sẽ thoát khỏi nó bằng một con mắt đen, sửa bất cứ lỗ hổng nào được khai thác và quay trở lại kinh doanh như bình thường. Rốt cuộc, không có hệ thống nào là 100% không thể xâm phạm.

Bạn có thể đúng khi cho rằng một số công ty không tuân theo tiêu chuẩn. Nếu chúng tôi cho rằng, chúng tôi cũng có thể cho rằng họ đã bị vi phạm và chỉ không báo cáo nó một cách có chủ ý, hoặc có lẽ (do không tuân thủ) họ đã không nhận ra vi phạm.

Visa / MC / Amex rất giỏi trong việc tìm kiếm các mẫu, cuối cùng họ sẽ theo dõi một xu hướng lừa đảo trở lại với một nhà cung cấp duy nhất và nhà cung cấp đó sẽ gặp khá nhiều rắc rối. Chìa khóa ở đây là thông báo cho họ ngay lập tức trong trường hợp vi phạm, có nghĩa là tuân theo các thực tiễn tốt nhất. Nếu họ phải 'tìm ra' và phát hiện ra (không có ý định chơi chữ) rằng bạn là mẫu số chung, nó có thể trở nên khá xấu xí.

Tim Post
nguồn
Wow, thẻ tín dụng trong hồ sơ y tế - điều này chỉ khiến tôi đánh giá cao hơn về NHS!
Nico đốt cháy
4

Câu chuyện thường gặp về PCI DSS 10 (pdf) nói về tiền phạt, phí pháp lý và những điều tồi tệ nói chung, vì vậy tôi nghĩ bạn có thể cho rằng mình sẽ bị kiện vào quên lãng nếu bạn nói dối về câu hỏi :)

JasonBirch
nguồn
1
Tại sao các công ty luôn phải in những thứ này trong PDF? Có gì sai với một trang web? Tôi đã từng thấy một bản PDF từ một nhà sản xuất là bản in của trang HTML ...
Mark Henderson
@Fudeeker oh, không đùa đâu. Và sau đó khi nó xuất hiện trên Google, chúng giống như "Xem! Tôi có thể có bố cục DTP tuyệt vời của mình và vẫn ăn bánh!"
JasonBirch
2

Ngay cả khi bạn cho rằng không ai muốn kiểm tra máy chủ của mình, bạn có thể sa thải nhân viên. Sau đó, nhân viên đó ghét bạn có thể đến VISA và phàn nàn về việc bạn không tuân theo các tiêu chuẩn.

Cơ đốc giáo
nguồn
1

Tôi đã làm việc cho một công ty đang trải qua quá trình tuân thủ PCI và tôi phải nói rằng, nếu bạn đang lưu trữ thông tin thẻ tín dụng và không tuân thủ PCI, bạn sẽ gặp rủi ro cho công ty của mình.

Bạn đúng ở chỗ ngành Thẻ tín dụng có thể không bao giờ phát hiện ra nhưng tại sao lại mạo hiểm. Bạn phải nhớ, nếu bạn từng vi phạm an ninh hoặc Nhà cung cấp thẻ phát hiện ra bạn có thể mất doanh nghiệp và danh tiếng của mình.

Nhiều người nghĩ rằng vì điều đó chưa xảy ra nên nó sẽ không xảy ra trong tương lai và điều đó hoàn toàn sai. Có một Nhà cung cấp CC phát hiện hoặc vi phạm xảy ra là Thiên nga đen vì chỉ mất 1 lần để hủy hoại bạn.

Ben Hoffman
nguồn
0

Chúng tôi làm việc rất chăm chỉ để không lưu trữ bất kỳ thông tin nào và đảm bảo tuân thủ, không cần gặp rắc rối và chắc chắn rằng bạn luôn sử dụng một giỏ hàng tuyệt vời như miva hoặc ít nhất là xem danh sách các nhà cung cấp giỏ hàng tuân thủ và được đề nghị

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.