it-swarm-tr.com

PCI uyumluluğu denetleniyor mu?

burada kredi kartı bilgilerinin depolanması ile ilgili çok açık sözlü önerileri okuduktan sonra merak etmeliyim - PCI uyumlu olmayan bir şirket kredi kartı bilgilerini saklamaya başlarsa ne olur? Bunu yapan firmalar olduğundan emin olun).

Örneğin, buradaki sorumu sormadığımı ve ileriye adım attığımı ve müşteri kredi kartı ayrıntılarını saklamaya karar verdim ve bazı temel AES şifrelemesini kullanmaya karar verdim. Şimdi ne olacak? Asla saldırıya uğramazsak, soracak biri var mı? Visa veya tüccarımız, sunucularımızı incelemek ister mi?

PCI uyumlu altyapı kullanmamanın sonuçları nelerdir?

Feragatname: İpucunu alıyorum - bu bir kötü bir fikir ve bunu yapmayacağız ama merak ediyorum

10
Mark Henderson

HIPAA/HITECH uyumluluğu ile doğrudan PCI/DSS'den daha çok ilgileniyorum, ancak HIPAA da genellikle PCI/DSS ile uyumluluk gerektiriyor. Neden? Tıbbi kayıtların ne zaman bir kredi kartının ön ve arka fotoğraf kopyasını içereceğini asla bilemezsiniz. Daha sık sık, onlar (ne yazık ki). Bu genellikle ortak ödemeyi yapmak için kartlarını kullanan birinden gelir. Her şey sadece bir klasörde attı.

Utanç verici bir şekilde, bu kayıtlar üçüncü şahıslar tarafından 'dijitalleştirildiğinde', sonuçta (şifrelenmemiş) veritabanları CC bilgilerinin açık kopyalarını içermez. Birkaç yıl önce olduğu kadar kötü değil, ama yine de bir sorun. Sebep dikkatsizlik değil, ipuçsuzluğu.

Kayıtlar çalındıktan sonra (fiziksel veya elektronik olarak) birkaç alışveriş hastanesi bu uygulamadan acı çekti, bu da alışveriş alanlarına neden oldu.

Herhangi bir standartta, sorumlu bir şirket standardın arkasındaki niyetine bakacak ve standardın çözmeye çalıştığı sorunları anlayacaktır. . Bu, (oldukça sık) standardının gerekliliklerini aşmasıyla sonuçlanır. Bu, eğer gerçekten, standardın sizin için geçerli olduğunun farkındaysanız, :)

Bir ihlaliniz varsa, yalnızca bir ihlaliniz varsa ve uyumluluk konusunda sahtekârsanız (sorunuza geri dönün):

  • Asla başka bir ticari hesap alma. Sadece unut gitsin. Sen de dükkanı kapatıp kapatabilirsin, hiç para kazanamazsın.

  • Hukuk mahkemesine çekilmek ve tazminat ödemek zorunda kalmak

  • Muhtemelen daha ciddi sonuçlarla ceza mahkemesine çekilmek

  • Yıllar boyunca etkilenen her kişi için kimlik koruması için ödeme yapmanın tadını çıkarın

Dürüst olsaydınız ve bildirim/vb. Kurallarını izlerseniz, muhtemelen biraz siyah bir gözle çıkarırsınız, ne gibi bir delik kullanıldıysa düzeltin ve her zamanki gibi işe geri dönün. Sonuçta hiçbir sistem% 100 uzlaşma sağlamaz.

Bazı firmaların standarda uymadığını varsaymakta muhtemelen haklısınız. Bunu kabul edersek, ihlal edildiklerini ve sadece kasıtlı olarak rapor etmekte başarısız olduklarını veya belki de (uymama nedeniyle) ihlali gerçekleştirmediklerini varsayabiliriz.

Visa/MC/Amex --- çok kalıp bulmakta iyidir, sonunda tek bir satıcıya sahte bir eğilim izlerler. ve o satıcının başının biraz belada olacak. Buradaki anahtar, ihlal durumunda derhal onları bilgilendirmek, bu da en iyi uygulamaları takip etmek demektir. Eğer bunu 'anlamak' zorunda kalırlarsa ve ortak bir payda olduğunuzu keşfediyorlarsa (amaçlanan yok), oldukça çirkinleşebilir.

3
Tim Post

PCI DSS 10 Ortak Efsaneler (pdf) para cezaları, yasal masraflar ve genel kötü şeyler hakkında konuşur, bu nedenle yalan söylerseniz ceza almayacağınızı varsayabilirim. ankette :)

4
JasonBirch

Hiç kimsenin sunucunuzu denetlemek istemeyeceğini varsaysanız bile bir çalışanı işten çıkarabilirsiniz. O zaman bu çalışan VISA'ya gidebilir ve standartlara uymamanızdan şikayetçi olabilir.

2
Christian

PCI uyumluluk sürecinden geçen bir şirket için çalıştım ve şunu söylemeliyim ki, kredi kartı bilgilerini saklıyorsanız ve PCI uyumlu değilseniz şirketinizi riske atmış olursunuz.

Kredi Kartı endüstrisinin asla öğrenemeyeceği, ancak neden risk alacağı konusunda haklısın. Hatırlamak zorundasınız, eğer herhangi bir güvenlik ihlali yaşarsanız ya da bir Kart Satıcısı işinizi ve itibarınızı kaybedebileceğinizi öğrenir.

Pek çok insan, henüz gerçekleşmediği için gelecekte gerçekleşmeyeceğini ve bunun sadece yanlış olduğunu düşünüyor. Bir CC Sağlayıcısının bulunması veya ihlal edilmesi ortaya çıkması Black Swan çünkü sizi mahvetmek yalnızca 1 kez gerçekleşir.

1
Ben Hoffman

Herhangi bir bilgiyi saklamamak ve uyumlu olduklarından, sorun olma ihtimaline gerek olmadığından ve sık sık miva gibi harika bir araba kullandığınızdan veya en azından uyumlu olan araba tedarikçileri listesine baktığınızdan emin olun. tavsiye edilir