PCI uyumluluğu inceleniyor mu?

10

Kredi kartı detaylarının burada saklanmasıyla ilgili çok güçlü önerileri okuduktan sonra merak etmeliyim - PCI uyumlu olmayan bir şirket kredi kartı ayrıntılarını saklamaya başlarsa ne olur (orada şirketler olduğundan% 100 eminim bunu yapıyor).

Örneğin, burada soruyu sormamıştım ve ileride sahte kredi kartı bilgilerini saklamaya ve bazı temel AES şifrelemesini kullanmaya karar verdim. Şimdi ne olacak? Eğer asla saldırıya uğramazsak, soracak olan var mı? Visa veya tüccarımız sunucularımızı incelemek isteyecek mi?

PCI uyumlu altyapıyı kullanmamanın sonuçları nelerdir?

Feragatname: İpucunu alıyorum - bu kötü bir fikir ve yapmayacağız, ama merak ediyorum

security  pci-compliance 
Mark Henderson
kaynak

Yanıtlar:

3

HIPAA / HITECH uyumluluğu ile doğrudan PCI / DSS'den daha çok ilgileniyorum, ancak HIPAA da genellikle PCI / DSS ile uyumu gerektiriyor. Neden? Tıbbi kayıtların ne zaman bir kredi kartının ön ve arka fotoğraf kopyasını içereceğini asla bilemezsiniz. Çoğu zaman, (ne yazık ki) yaparlar. Bu genellikle ortak ödeme yapmak için sadece kartlarını kullanan birinden gelir. Her şey tek bir klasörde atılır.

Utanç verici bir şekilde, bu kayıtlar üçüncü taraflarca 'sayısallaştırıldığında', ortaya çıkan (şifrelenmemiş) veritabanlarının CC bilgilerinin net kopyalarını içermemesinden daha sık . Birkaç yıl önce olduğu kadar kötü değil, ama yine de bir sorun. Nedeni dikkatsizlik değil, cluelessness.

Kayıtlar çalındıktan sonra (fiziksel veya elektronik olarak) birkaç hastane bu uygulamadan muzdaripti ve bu da alışveriş çılgınlığı ile sonuçlandı.

Herhangi bir standartla, sorumlu bir şirket standardın arkasındaki amaca bakar ve standardın çözmeye çalıştığı sorunları fark eder. Bu (oldukça sık) standardın gerekliliklerini aşmaktadır . Yani, eğer standardın sizin için geçerli olduğunu fark ederseniz :)

Bir ihlaliniz varsa, yalnızca bir ihlaliniz varsa ve uyum konusunda dürüst olmuyorsanız (sorunuza geri dönerek), şunları yapacaksınız:

  • Asla başka bir satıcı hesabı almayın. Sadece unut gitsin. Dükkânı da kapatabilirsin, ödeme almanın bir yolu yok.

  • Hukuk mahkemesine taşınmak ve tazminat ödemek zorunda kalmak

  • Muhtemelen daha ciddi sonuçlarla ceza mahkemesine taşınmak

  • Etkilenen her insan için yıllar boyunca kimlik koruması için ödeme yapmanın tadını çıkarın

Eğer dürüst olsaydınız ve bildirim / vb. Sonuçta hiçbir sistem% 100 uzlaşmaya karşı dayanıklı değildir.

Muhtemelen bazı şirketlerin standarda uymadığını varsayarsınız. Bunu kabul edersek, ihlal edildiğini ve kasten rapor etmediklerini veya belki de (uymamaları nedeniyle) ihlali fark etmediklerini varsayabiliriz.

Visa / MC / Amex kalıpları bulma konusunda çok iyi, sonunda tek bir satıcıya hileli bir eğilim izleyecekler ve bu satıcı biraz sorun yaşayacaktır. Buradaki anahtar, bir ihlal durumunda hemen onları bilgilendirmektir, bu da en iyi uygulamaları takip etmek anlamına gelir. Eğer 'anlamaya' ve ortak payda olduğunuzu keşfetmeye (cezalandırma amaçlı değil) ihtiyaç duyarlarsa, oldukça çirkinleşebilir.

Tim Post
kaynak
Vay, tıbbi kayıtlardaki kredi kartları - bu sadece NHS'yi daha da takdir ediyor!
Nico Burns
4

PCI DSS 10 Yaygın Mitler (pdf) para cezaları, yasal ücretler ve genel kötü şeyler bahsediyor, sana anketinde yalan eğer unutulmuş dava olurdu varsayabiliriz düşünüyorum böylece :)

JasonBirch
kaynak
1
Şirketler neden her zaman bunları PDF olarak yazdırmak zorunda? Bir web sayfasındaki sorun nedir? Bir keresinde bir HTML sayfasının çıktısı olan bir üreticiden bir PDF gördüm ...
Mark Henderson
@Farseeker oh, şaka yapmıyorum. Ve sonra Google'da göründüğünde "Bakın! Harika DTP düzenime sahip olabilirim ve yine de kek yiyebilirim!"
JasonBirch
2

Kimsenin sunucunuzu denetlemek istemeyeceğini varsaysanız bile bir çalışanı işten çıkarabilirsiniz. O zaman çalışanın nefret etmesi, VISA'ya gidebilir ve standartlara uymamanızdan şikayet edebilir.

Hristiyan
kaynak
1

PCI uyumluluk sürecinden geçen bir şirkette çalıştım ve şunu söylemeliyim ki, kredi kartı bilgilerini saklıyorsanız ve PCI uyumlu değilseniz, şirketinizi riske atıyorsunuz demektir.

Kredi Kartı endüstrisinin asla öğrenemeyeceği, ancak neden risk altında olduğu konusunda haklısınız. Bir güvenlik ihlali yaşarsanız veya Kart Satıcısı işinizi ve itibarınızı kaybedebileceğinizi öğrenir.

Birçok insan, henüz gerçekleşmediği için gelecekte gerçekleşmeyeceğini düşünüyor ve bu sadece yanlıştır. Bir CC Sağlayıcının öğrenmesi veya bir ihlalin meydana gelmesi bir Black Swan'dır, çünkü sizi mahvetmek sadece 1 kez gerçekleşir.

Ben Hoffman
kaynak
0

Herhangi bir bilgiyi saklamamak ve uyumlu olduğundan, herhangi bir sorun şansına gerek olmadığından emin olmak için çok çalışıyoruz ve her zaman miva gibi harika bir araba kullandığınızdan emin olun veya en azından uyumlu olan sepet sağlayıcıları listesine bakın ve tavsiye edildi

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.