Apakah kepatuhan PCI dicermati?

Setelah membaca rekomendasi yang sangat kuat mengenai penyimpanan rincian kartu kredit di sini , saya harus bertanya-tanya - apa yang terjadi jika perusahaan yang tidak mematuhi PCI mulai menyimpan rincian kartu kredit (Saya 100% yakin bahwa ada perusahaan di luar sana melakukan ini).

Sebagai contoh, katakanlah saya tidak mengajukan pertanyaan saya di sini dan saya terus maju dan hanya memutuskan untuk menyimpan rincian kartu kredit pelanggan dan menggunakan beberapa enkripsi AES dasar. Sekarang apa? Jika kita tidak pernah diretas, adakah yang akan bertanya? Apakah Visa, atau pedagang kami, ingin memeriksa server kami?

Apa konsekuensi dari tidak menggunakan infrastruktur yang sesuai PCI?

_{Penafian: Saya mendapatkan petunjuk - ini adalah ide yang buruk dan kami tidak akan melakukannya, tetapi saya ingin tahu}

Saya lebih banyak berurusan dengan kepatuhan HIPAA / HITECH daripada PCI / DSS secara langsung, namun, HIPAA juga biasanya mengharuskan kepatuhan dengan PCI / DSS. Mengapa? Anda tidak pernah tahu kapan catatan medis akan berisi salinan foto depan dan belakang kartu kredit. Lebih sering daripada tidak, mereka melakukannya (dengan sedih). Ini biasanya berasal dari seseorang yang hanya menggunakan kartu mereka untuk menyelesaikan pembayaran bersama. Semuanya baru saja dilempar ke dalam satu folder.

Yang memalukan, ketika catatan ini 'didigitalkan' oleh pihak ketiga, lebih sering daripada yang dihasilkan (tidak terenkripsi) database berisi salinan yang jelas dari info CC. Ini tidak seburuk beberapa tahun yang lalu, tetapi masih menjadi masalah. Penyebabnya adalah tidak ada kecerobohan, ketidaktahuannya.

Beberapa rumah sakit telah menderita dari praktik ini, setelah catatan dicuri (secara fisik atau elektronik), mengakibatkan belanja besar-besaran.

Dengan standar apa pun, perusahaan yang bertanggung jawab akan melihat maksud di balik standar dan menyadari masalah yang coba dipecahkan oleh standar tersebut. Ini menghasilkan (sangat sering) melebihi persyaratan standar. Artinya, jika, memang Anda menyadari bahwa standar itu berlaku untuk Anda :)

Jika Anda memiliki pelanggaran, cukup satu pelanggaran dan tidak jujur ​​tentang kepatuhan (kembali ke pertanyaan Anda), Anda akan:

• Jangan pernah mendapatkan akun pedagang lain. Lupakanlah. Anda mungkin juga hanya menutup toko, Anda tidak memiliki cara untuk mendapatkan bayaran.

• Diangkut ke pengadilan sipil dan harus membayar ganti rugi

• Mungkin diangkut ke pengadilan pidana dengan konsekuensi yang lebih serius

• Nikmati pembayaran untuk perlindungan identitas untuk setiap orang yang terkena dampak selama bertahun-tahun yang akan datang

Jika Anda jujur, dan ikuti aturan tentang pemberitahuan / dll, Anda mungkin akan keluar dengan sedikit mata hitam, memperbaiki lubang apa pun yang dieksploitasi dan kembali ke bisnis seperti biasa. Bagaimanapun, tidak ada sistem yang 100% tahan terhadap kompromi.

Anda mungkin benar dalam mengasumsikan bahwa beberapa perusahaan tidak mengikuti standar. Jika kita menganggap itu, kita juga dapat berasumsi bahwa mereka telah dilanggar dan gagal melaporkannya dengan sengaja, atau mungkin (karena tidak mematuhi) mereka tidak menyadari pelanggaran tersebut.

Visa / MC / Amex sangat pandai menemukan pola, akhirnya mereka akan melacak tren penipuan kembali ke satu vendor, dan bahwa vendor akan berada dalam sedikit masalah. Kuncinya di sini adalah segera memberi tahu mereka jika terjadi pelanggaran, yang berarti mengikuti praktik terbaik. Jika mereka harus 'mencari tahu' dan menemukan (tidak ada permainan kata-kata) bahwa Anda adalah penyebut yang sama, itu bisa menjadi sangat jelek.

The PCI DSS 10 Mitos umum (pdf) berbicara tentang denda, biaya hukum, dan hal-hal buruk umum, jadi saya pikir Anda dapat mengasumsikan Anda akan digugat ke terlupakan jika Anda berbohong pada kuesioner :)

Bahkan ketika Anda berasumsi bahwa tidak ada yang mungkin ingin memeriksa server Anda, Anda mungkin memecat seorang karyawan. Kemudian karyawan itu membenci Anda mungkin pergi ke VISA dan mengeluh tentang kurangnya Anda mengikuti standar.

Saya bekerja untuk perusahaan yang sedang menjalani proses kepatuhan PCI dan saya harus mengatakan, jika Anda menyimpan info kartu kredit dan tidak sesuai dengan PCI, Anda menempatkan perusahaan Anda dalam risiko.

Anda benar karena industri Kartu Kredit mungkin tidak pernah mengetahuinya tetapi mengapa mengambil risiko. Anda harus ingat, jika Anda pernah memiliki pelanggaran keamanan atau Vendor Kartu tahu Anda dapat kehilangan bisnis dan reputasi Anda.

Banyak orang berpikir bahwa karena itu belum terjadi, itu tidak akan terjadi di masa depan dan itu sama sekali salah. Memiliki Penyedia CC mencari tahu atau terjadi pelanggaran adalah Black Swan karena hanya perlu 1 kali untuk menghancurkan Anda.

Kami bekerja sangat keras untuk tidak menyimpan info apa pun dan pastikan telah memenuhi persyaratan, tidak perlu ada kemungkinan masalah, dan pastikan Anda selalu menggunakan keranjang hebat seperti miva, atau setidaknya lihat daftar penyedia keranjang yang sesuai dan direkomendasikan