it-swarm.com.de

Wird die PCI-Konformität überprüft?

Nachdem ich die sehr gut formulierten Empfehlungen zu Speicherung von Kreditkartendaten hier gelesen habe, muss ich mich fragen - was passiert, wenn ein nicht PCI-konformes Unternehmen beginnt, Kreditkartendaten zu speichern (ich bin 100% sicher, dass es Firmen gibt, die dies tun).

Nehmen wir zum Beispiel an, ich habe meine Frage hier nicht gestellt und mich weiterentwickelt. Ich habe nur entschieden, die Kreditkartendaten der Kunden zu speichern und eine grundlegende AES-Verschlüsselung zu verwenden. Was jetzt? Wenn wir nie gehackt werden, wird jemand fragen? Werden Visa oder unser Händler jemals unsere Server inspizieren wollen?

Was sind die Folgen einer nicht PCI-konformen Infrastruktur?

Haftungsausschluss: Ich verstehe den Hinweis - dies ist eine schlechte Idee und wir werden es nicht tun, aber ich bin neugierig

10
Mark Henderson

Ich beschäftige mich mehr mit HIPAA/HITECH-Konformität als direkt mit PCI/DSS, aber HIPAA erfordert in der Regel auch die Konformität mit PCI/DSS. Warum? Sie wissen nie, wann Krankenakten eine Fotokopie einer Kreditkarte auf Vorder- und Rückseite enthalten. Meistens tun sie das (leider). Dies kommt normalerweise von jemandem, der nur seine Karte zur Begleichung einer Zuzahlung verwendet. Alles wird einfach in einen Ordner geworfen.

Peinlicherweise enthalten die resultierenden (unverschlüsselten) Datenbanken, wenn diese Datensätze von Dritten "digitalisiert" werden, meistens clear Kopien der CC-Informationen. Es ist nicht so schlimm wie vor ein paar Jahren, aber es ist immer noch ein Problem. Die Ursache ist dort nicht Nachlässigkeit, sondern Ahnungslosigkeit.

Einige Krankenhäuser haben bereits unter dieser Praxis gelitten, nachdem Aufzeichnungen (physisch oder elektronisch) gestohlen wurden, was zu Einkaufsbeschwerden führte.

Bei jedem Standard wird ein verantwortungsbewusstes Unternehmen die Absicht ​​ hinter dem Standard betrachten und die Probleme erkennen, die der Standard zu lösen versucht. Dies führt (ziemlich oft) zu über den Anforderungen der Norm. Das heißt, wenn Sie in der Tat erkennen, dass der Standard für Sie gilt :)

Wenn Sie einen Verstoß haben, nur einen Verstoß, und bezüglich der Einhaltung unehrlich waren (zurück zu Ihrer Frage), werden Sie:

  • Erhalte niemals ein anderes Händlerkonto. Vergiss es einfach. Sie können auch einfach den Laden schließen, Sie haben keine Möglichkeit, bezahlt zu werden.

  • Vor ein Zivilgericht gezogen werden und Schadensersatz zahlen müssen

  • Möglicherweise vor ein Strafgericht mit schwerwiegenderen Konsequenzen

  • Bezahlen Sie jahrelang für den Identitätsschutz jeder betroffenen Person

Wenn Sie ehrlich sind und die Regeln für Benachrichtigungen/usw. befolgen, werden Sie wahrscheinlich mit einem kleinen blauen Auge aus dieser Situation herauskommen, das ausgenutzte Loch beheben und wie gewohnt weiterarbeiten. Schließlich ist kein System zu 100% kompromisslos.

Sie haben wahrscheinlich Recht mit der Annahme, dass einige Unternehmen den Standard nicht einhalten. Wenn wir das annehmen, können wir auch davon ausgehen, dass sie verletzt wurden und es einfach versäumt haben, es absichtlich zu melden, oder vielleicht haben sie (aufgrund von Nichteinhaltung) den Verstoß nicht bemerkt.

Visa/MC/Amex sind sehr gut darin, Muster zu finden. Letztendlich werden sie einen betrügerischen Trend auf einen einzelnen Anbieter zurückführen, und dieser Anbieter wird dabei sein ziemlich viel Ärger. Der Schlüssel hier ist, sie im Falle eines Verstoßes sofort zu benachrichtigen, was bedeutet, dass Best Practices befolgt werden. Wenn sie es herausfinden müssen (kein Wortspiel beabsichtigt), dass Sie der gemeinsame Nenner sind, kann es ziemlich hässlich werden.

3
Tim Post

Das PCI DSS 10 Common Myths (pdf) handelt von Bußgeldern, Anwaltskosten und allgemeinen schlechten Dingen. Ich denke, Sie können davon ausgehen, dass Sie in Vergessenheit geraten, wenn Sie lügen auf dem Fragebogen :)

4
JasonBirch

Selbst wenn Sie davon ausgehen, dass niemand Ihren Server inspizieren möchte, können Sie einen Mitarbeiter entlassen. Dann kann es sein, dass dieser Mitarbeiter Sie hasst, wenn Sie zu VISA gehen und sich über Ihre Nichteinhaltung der Standards beschweren.

2
Christian

Ich habe für ein Unternehmen gearbeitet, das den PCI-Konformitätsprozess durchlaufen hat, und ich muss sagen, dass Sie Ihr Unternehmen gefährden, wenn Sie Kreditkarteninformationen speichern und nicht PCI-konform sind.

Sie haben Recht damit, dass die Kreditkartenbranche es vielleicht nie herausfindet, aber warum sollte sie es riskieren? Sie müssen sich daran erinnern, dass Sie Ihr Geschäft und Ihren Ruf verlieren können, wenn Sie jemals eine Sicherheitsverletzung haben oder ein Kartenverkäufer feststellt, dass Sie dies tun.

Viele Leute denken, weil es noch nicht passiert ist, wird es in Zukunft nicht passieren und das ist einfach falsch. Es ist ein Black Swan , wenn ein CC-Anbieter dies herausfindet oder ein Verstoß eintritt, da es nur 1 Vorkommnis dauert, um Sie zu ruinieren.

1
Ben Hoffman

Wir arbeiten sehr hart daran, keine Informationen zu speichern und sicherzustellen, dass diese den Anforderungen entsprechen, dass keine Probleme auftreten können und dass Sie immer einen großartigen Wagen wie miva verwenden oder zumindest die Liste der Wagenanbieter einsehen, die den Anforderungen entsprechen und werden empfohlen