La conformité PCI est-elle examinée?
Après avoir lu les recommandations très strictes concernant le stockage des informations de carte de crédit ici , je dois me demander: que se passera-t-il si une entreprise non conforme aux normes PCI commence à stocker les informations de carte de crédit (je suis à 100% qu’il existe des entreprises qui le font).
Par exemple, supposons que je n’ai pas posé ma question ici, j’ai pris l’avance et décidé de stocker les détails de la carte de crédit du client et d’utiliser un cryptage AES de base. Maintenant quoi? Si on ne se fait jamais pirater, est-ce que quelqu'un va demander? Est-ce que Visa, ou notre commerçant, voudra un jour inspecter nos serveurs?
Quelles sont les conséquences de ne pas utiliser une infrastructure conforme à la norme PCI?
Déni de responsabilité: je comprends l'allusion - c'est une mauvaise idée et nous ne le ferons pas, mais je suis curieux
Je traite davantage de la conformité HIPAA/HITECH que de la norme PCI/DSS directement, cependant, la norme HIPAA nécessite également la conformité à la norme PCI/DSS. Pourquoi? Vous ne savez jamais quand les dossiers médicaux contiennent une copie recto et verso d'une carte de crédit. Le plus souvent, ils le font (malheureusement). Cela vient généralement de quelqu'un qui utilise simplement sa carte pour régler un co-paiement. Tout est jeté dans un dossier.
De manière embarrassante, lorsque ces enregistrements sont "numérisés" par des tiers, les bases de données résultantes (non chiffrées) contiennent le plus souvent des copies claires de l'information CC. Ce n’est pas aussi grave qu’il ya quelques années, mais c’est toujours un problème. La cause n’est pas l’insouciance, son manque de compréhension.
Quelques hôpitaux ont déjà souffert de cette pratique après le vol de documents (physiquement ou électroniquement), ce qui a entraîné des frissons.
Quelle que soit la norme choisie, une entreprise responsable examinera le intention derrière la norme et réalisera les problèmes que la norme tente de résoudre. . Cela se traduit (assez souvent) par dépassant les exigences de la norme. C’est-à-dire que si, en effet, vous réalisez que la norme s’applique à vous :)
Si vous avez un manquement, un seul manquement et que vous êtes malhonnête quant à la conformité (pour en revenir à votre question), vous devrez:
Ne jamais obtenir un autre compte marchand. Oublie ça. Vous pouvez aussi bien fermer votre boutique, vous n’avez aucun moyen de vous faire payer.
Être traîné devant un tribunal civil et avoir à payer des dommages et intérêts
Peut-être être traîné devant un tribunal pénal avec des conséquences plus graves
Profitez de payer pour la protection de l'identité de chaque personne affectée pour les années à venir
Si vous étiez honnête et respectiez les règles concernant les notifications/etc., vous en sortirez probablement avec un œil au beurre noir, réparez le trou qui a été exploité et reprenez les activités habituelles. Après tout, aucun système n'est à 100% imperméable aux compromis.
Vous avez probablement raison de supposer que certaines entreprises ne respectent pas la norme. Si nous supposons cela, nous pouvons également supposer qu'ils ont été violés et ont simplement omis de le signaler délibérément, ou peut-être (parce qu'ils ne se sont pas conformés), ils n'ont pas réalisé l'infraction.
Les cartes Visa/MC/Amex sont très bonnes pour la recherche de modèles; elles permettront éventuellement de retracer une tendance frauduleuse chez un seul fournisseur, et ce vendeur aura pas mal de problèmes. La clé ici est de les informer immédiatement en cas de violation, ce qui signifie de suivre les meilleures pratiques. S'ils doivent "comprendre" et découvrir (sans jeu de mots) que vous êtes le dénominateur commun, cela peut devenir assez moche.
Le PCI DSS 10 Myths Communs (pdf) parle d'amendes, de frais juridiques et de mauvaises choses en général. Je pense donc que vous pouvez supposer que vous seriez poursuivi en justice dans l'oubli si vous mentiez. sur le questionnaire :)
Même en supposant que personne ne veuille inspecter votre serveur, vous pouvez licencier un employé. Ensuite, cet employé déteste que vous puissiez aller chez VISA et vous plaindre de votre non-respect des normes.
J'ai travaillé pour une société qui suivait le processus de conformité PCI et je dois dire que si vous stockez des informations de carte de crédit et que vous ne respectez pas la norme PCI, vous mettez votre société en danger.
Vous avez raison de dire que le secteur des cartes de crédit peut ne jamais le savoir, mais pourquoi le risquer. N'oubliez pas que si vous rencontrez un problème de sécurité ou si un fournisseur de cartes découvre que vous risquez de perdre votre entreprise et votre réputation.
Beaucoup de gens pensent que parce que cela ne s'est pas encore produit, cela ne se produira plus à l'avenir et c'est tout simplement faux. Le fait de demander à un fournisseur CC de découvrir ou de constater une violation est un Cygne noir car il ne faut qu'un événement pour vous ruiner.
Nous travaillons très fort pour ne pas stocker d’informations, pour vous assurer qu’elles étaient conformes, qu’elles ne soient pas gênantes, et que vous utilisiez toujours un bon chariot tel que miva, ou du moins que vous consultiez la liste des fournisseurs de charrettes conformes. sont recommandés