Wird die PCI-Konformität überprüft?

10

Nachdem ich die sehr stark formulierten Empfehlungen zur Speicherung von Kreditkartendaten hier gelesen habe, muss ich mich fragen - was passiert, wenn ein nicht PCI-konformes Unternehmen beginnt, Kreditkartendaten zu speichern (ich bin zu 100% sicher, dass es Unternehmen gibt) Dies tun).

Nehmen wir zum Beispiel an, ich hätte meine Frage hier nicht gestellt und bin weitergegangen. Ich habe mich einfach dazu entschlossen, die Kreditkartendaten der Kunden zu speichern und eine grundlegende AES-Verschlüsselung zu verwenden. Was jetzt? Wenn wir nie gehackt werden, wird jemand fragen? Wird Visa oder unser Händler jemals unsere Server inspizieren wollen?

Was sind die Konsequenzen, wenn keine PCI-kompatible Infrastruktur verwendet wird?

Haftungsausschluss: Ich verstehe den Hinweis - das ist eine schlechte Idee und wir werden es nicht tun, aber ich bin neugierig

Mark Henderson
quelle

Antworten:

3

Ich beschäftige mich mehr mit HIPAA / HITECH-Konformität als mit PCI / DSS direkt, aber HIPAA erfordert normalerweise auch die Konformität mit PCI / DSS. Warum? Sie wissen nie, wann Krankenakten eine Fotokopie einer Kreditkarte auf der Vorder- und Rückseite enthalten. Meistens tun sie das (leider). Dies kommt normalerweise von jemandem, der nur seine Karte verwendet, um eine Zuzahlung zu begleichen. Alles wird einfach in einen Ordner geworfen.

Peinlicherweise enthalten die resultierenden (unverschlüsselten) Datenbanken, wenn diese Datensätze von Dritten "digitalisiert" werden, häufig eindeutige Kopien der CC-Informationen. Es ist nicht so schlimm wie vor ein paar Jahren, aber es ist immer noch ein Problem. Die Ursache dort ist nicht Nachlässigkeit, sondern Ahnungslosigkeit.

Einige Krankenhäuser haben bereits unter dieser Praxis gelitten, nachdem Aufzeichnungen (physisch oder elektronisch) gestohlen wurden, was zu Einkaufsbummeln führte.

Bei jedem Standard wird ein verantwortungsbewusstes Unternehmen die Absichten hinter dem Standard untersuchen und die Probleme erkennen, die der Standard zu lösen versucht. Dies führt (ziemlich oft) dazu , dass die Anforderungen der Norm übertroffen werden. Das heißt, wenn Sie tatsächlich feststellen, dass der Standard für Sie gilt :)

Wenn Sie einen Verstoß haben, nur einen Verstoß, und in Bezug auf die Einhaltung unehrlich waren (zurück zu Ihrer Frage), werden Sie:

  • Erhalten Sie niemals ein anderes Händlerkonto. Vergiss es einfach. Sie können auch einfach den Laden schließen, Sie haben keine Möglichkeit, bezahlt zu werden.

  • Vor ein Zivilgericht gebracht werden und Schadensersatz zahlen müssen

  • Möglicherweise mit schwerwiegenderen Konsequenzen vor ein Strafgericht gebracht werden

  • Genießen Sie es, jahrelang für jeden Betroffenen für den Identitätsschutz zu bezahlen

Wenn Sie ehrlich waren und die Regeln für Benachrichtigungen / usw. befolgten, werden Sie wahrscheinlich mit einem blauen Auge herauskommen, das ausgenutzte Loch reparieren und wieder wie gewohnt arbeiten. Schließlich ist kein System zu 100% kompromisslos.

Sie gehen wahrscheinlich zu Recht davon aus, dass einige Unternehmen den Standard nicht einhalten. Wenn wir davon ausgehen, können wir auch davon ausgehen, dass sie verletzt wurden und es einfach nicht absichtlich gemeldet haben, oder dass sie den Verstoß möglicherweise (aufgrund von Nichteinhaltung) nicht erkannt haben.

Visa / MC / Amex sind sehr gut darin, Muster zu finden. Schließlich werden sie einen betrügerischen Trend auf einen einzelnen Anbieter zurückführen, und dieser Anbieter wird in ziemliche Schwierigkeiten geraten. Der Schlüssel hier ist, sie im Falle eines Verstoßes sofort zu benachrichtigen, was bedeutet, dass Best Practices befolgt werden. Wenn sie es herausfinden und herausfinden müssen (kein Wortspiel beabsichtigt), dass Sie der gemeinsame Nenner sind, kann es ziemlich hässlich werden.

Tim Post
quelle
Wow, Kreditkarten in Krankenakten - das macht mich noch mehr dankbar für den NHS!
Nico Burns
4

In den PCI DSS 10 Common Myths (pdf) geht es um Geldstrafen, Anwaltskosten und allgemeine schlechte Dinge. Ich denke, Sie können davon ausgehen, dass Sie in Vergessenheit geraten, wenn Sie den Fragebogen belogen haben :)

JasonBirch
quelle
1
Warum müssen Unternehmen dieses Zeug immer in PDFs drucken? Was ist los mit einer Webseite? Ich habe einmal ein PDF von einem Hersteller gesehen, der ein Ausdruck einer HTML-Seite war ...
Mark Henderson
@Farseeker oh, kein Scherz. Und wenn es dann in Google auftaucht, sagen sie: "Sehen Sie! Ich kann mein fantastisches DTP-Layout haben und trotzdem Kuchen essen!"
JasonBirch
2

Selbst wenn Sie davon ausgehen, dass niemand Ihren Server überprüfen möchte, können Sie einen Mitarbeiter entlassen. Dann hasst es dieser Mitarbeiter, dass Sie zu VISA gehen und sich über Ihre Nichteinhaltung der Standards beschweren.

Christian
quelle
1

Ich habe für ein Unternehmen gearbeitet, das den PCI-Compliance-Prozess durchlaufen hat, und ich muss sagen, wenn Sie Kreditkarteninformationen speichern und nicht PCI-konform sind, gefährden Sie Ihr Unternehmen.

Sie haben Recht damit, dass die Kreditkartenbranche es vielleicht nie herausfindet, aber warum es riskieren sollte. Sie müssen sich daran erinnern, dass Sie Ihr Unternehmen und Ihren Ruf verlieren können, wenn Sie jemals eine Sicherheitsverletzung haben oder ein Kartenanbieter herausfindet, dass Sie dies tun können.

Viele Leute denken, weil es noch nicht passiert ist, wird es in Zukunft nicht mehr passieren und das ist einfach falsch. Wenn ein CC-Anbieter herausfindet oder ein Verstoß auftritt, ist dies ein schwarzer Schwan, da nur ein Ereignis erforderlich ist, um Sie zu ruinieren.

Ben Hoffman
quelle
0

Wir arbeiten sehr hart daran, keine Informationen zu speichern und sicherzustellen, dass sie konform sind, dass keine Probleme auftreten können. Stellen Sie sicher, dass Sie immer einen großartigen Einkaufswagen wie miva verwenden, oder sehen Sie sich zumindest die Liste der konformen und Warenkorbanbieter an werden empfohlen


quelle