it-swarm-vi.com

Là tuân thủ PCI được xem xét kỹ lưỡng?

Sau khi đọc các đề xuất được diễn đạt rất mạnh mẽ về lưu trữ chi tiết thẻ tín dụng ở đây , tôi đã tự hỏi - điều gì xảy ra nếu một công ty không tuân thủ PCI bắt đầu lưu trữ chi tiết thẻ tín dụng (Tôi 100% chắc chắn rằng có những công ty ngoài kia đang làm điều này).

Ví dụ: giả sử tôi đã không hỏi câu hỏi của mình ở đây và tôi đã giả mạo trước và chỉ quyết định lưu trữ chi tiết thẻ tín dụng của khách hàng và sử dụng một số mã hóa AES cơ bản. Giờ thì sao? Nếu chúng tôi không bao giờ bị hack, có ai sẽ hỏi không? Visa, hoặc thương gia của chúng tôi, có bao giờ muốn kiểm tra máy chủ của chúng tôi không?

Hậu quả của việc không sử dụng cơ sở hạ tầng tuân thủ PCI là gì?

Tuyên bố miễn trừ trách nhiệm: Tôi nhận được gợi ý - đây là một ý tưởng xấu và chúng tôi sẽ không thực hiện nó, nhưng tôi tò mò

10
Mark Henderson

Tôi xử lý nhiều hơn với việc tuân thủ HIPAA/HITECH so với trực tiếp PCI/DSS, tuy nhiên, HIPAA cũng thường yêu cầu tuân thủ PCI/DSS. Tại sao? Bạn không bao giờ biết khi nào hồ sơ y tế sẽ chứa một bản sao ảnh mặt trước và mặt sau của thẻ tín dụng. Thường xuyên hơn không, họ làm (đáng buồn). Điều này thường đến từ một người nào đó chỉ sử dụng thẻ của họ để giải quyết một khoản đồng thanh toán. Tất cả mọi thứ chỉ được ném vào một thư mục.

Xấu hổ thay, khi các bản ghi này được 'số hóa' bởi các bên thứ ba, thường xuyên hơn là các cơ sở dữ liệu (không được mã hóa) có chứa các bản sao thông tin CC rõ ràng . Nó không tệ như vài năm trước, nhưng nó vẫn là một vấn đề. Nguyên nhân không có sự bất cẩn, không biết gì.

Một vài bệnh viện đã phải chịu đựng thông lệ này, sau khi hồ sơ bị đánh cắp (vật lý hoặc điện tử), dẫn đến việc mua sắm.

Với bất kỳ tiêu chuẩn nào, một công ty có trách nhiệm sẽ xem xét mục đích đằng sau tiêu chuẩn và nhận ra các vấn đề mà tiêu chuẩn đang cố gắng giải quyết . Kết quả này (khá thường xuyên) trong vượt quá các yêu cầu của tiêu chuẩn. Đó là, nếu, thực sự bạn nhận ra rằng tiêu chuẩn áp dụng cho bạn :)

Nếu bạn có một vi phạm, chỉ cần một vi phạm và không trung thực về việc tuân thủ (quay lại câu hỏi của bạn), bạn sẽ:

  • Không bao giờ có được một tài khoản thương mại khác. Hãy quên nó đi. Bạn cũng có thể chỉ cần đóng cửa hàng, bạn không có cách nào để được trả tiền.

  • Bị lôi ra tòa án dân sự và phải bồi thường thiệt hại

  • Có thể bị đưa vào tòa án hình sự với hậu quả nghiêm trọng hơn

  • Tận hưởng trả tiền để bảo vệ danh tính cho mọi người bị ảnh hưởng trong nhiều năm tới

Nếu bạn trung thực và tuân theo các quy tắc về thông báo/vv, bạn có thể sẽ thoát khỏi nó bằng một con mắt đen, sửa bất kỳ lỗ hổng nào được khai thác và quay trở lại kinh doanh như bình thường. Rốt cuộc, không có hệ thống nào là 100% không thể xâm phạm.

Bạn có thể đúng khi cho rằng một số công ty không tuân theo tiêu chuẩn. Nếu chúng tôi cho rằng, chúng tôi cũng có thể cho rằng họ đã bị vi phạm và chỉ không báo cáo nó một cách có chủ ý, hoặc có lẽ (do không tuân thủ) họ đã không nhận ra vi phạm.

Visa/MC/Amex là rất giỏi tìm mẫu, cuối cùng họ sẽ theo dõi xu hướng lừa đảo trở lại với một nhà cung cấp duy nhất, và nhà cung cấp đó sẽ gặp khá nhiều rắc rối. Chìa khóa ở đây là thông báo cho họ ngay lập tức trong trường hợp vi phạm, có nghĩa là tuân theo các thực tiễn tốt nhất. Nếu họ phải 'tìm ra' và phát hiện ra (không có ý định chơi chữ) rằng bạn là mẫu số chung, nó có thể trở nên khá xấu xí.

3
Tim Post

PCI DSS 10 Chuyện hoang đường phổ biến (pdf) nói về tiền phạt, phí pháp lý và những điều tồi tệ chung, vì vậy tôi nghĩ bạn có thể cho rằng mình bị kiện vào quên lãng nếu bạn nói dối trên bảng câu hỏi :)

4
JasonBirch

Ngay cả khi bạn cho rằng không ai muốn kiểm tra máy chủ của mình, bạn có thể sa thải nhân viên. Sau đó, nhân viên đó ghét bạn có thể đến VISA và phàn nàn về việc bạn không tuân theo các tiêu chuẩn.

2
Christian

Tôi đã làm việc cho một công ty đang trải qua quá trình tuân thủ PCI và tôi phải nói rằng, nếu bạn đang lưu trữ thông tin thẻ tín dụng và không tuân thủ PCI, bạn sẽ khiến công ty gặp rủi ro.

Bạn đúng ở chỗ ngành Thẻ tín dụng có thể không bao giờ phát hiện ra nhưng tại sao lại mạo hiểm. Bạn phải nhớ, nếu bạn từng vi phạm an ninh hoặc Nhà cung cấp thẻ phát hiện ra bạn có thể mất doanh nghiệp và danh tiếng của mình.

Nhiều người nghĩ rằng vì điều đó chưa xảy ra nên nó sẽ không xảy ra trong tương lai và điều đó hoàn toàn sai. Có Nhà cung cấp CC phát hiện hoặc vi phạm xảy ra là Thiên nga đen vì chỉ mất 1 lần để hủy hoại bạn.

1
Ben Hoffman

Chúng tôi làm việc rất chăm chỉ để không lưu trữ bất kỳ thông tin nào và đảm bảo tuân thủ, không cần gặp rắc rối và chắc chắn rằng bạn luôn sử dụng một giỏ hàng tuyệt vời như miva hoặc ít nhất là xem danh sách các nhà cung cấp giỏ hàng tuân thủ và được đề nghị