Bezpośrednio zajmuję się bardziej zgodnością HIPAA / HITECH niż PCI / DSS, jednak HIPAA zwykle wymaga również zgodności z PCI / DSS. Dlaczego? Nigdy nie wiadomo, kiedy dokumentacja medyczna będzie zawierać przednią i tylną kopię zdjęcia karty kredytowej. Najczęściej robią to (niestety). Zwykle pochodzi to od osoby, która po prostu używa swojej karty do rozliczenia współpłatności. Wszystko po prostu rzuca się w jednym folderze.
Żenujące jest, że kiedy te rekordy są „digitalizowane” przez strony trzecie, najczęściej powstałe (niezaszyfrowane) bazy danych zawierają wyraźne kopie informacji CC. Nie jest tak źle, jak kilka lat temu, ale nadal stanowi problem. Przyczyną jest brak niedbalstwa, jego brak jasności.
Kilka szpitali już cierpiało z powodu tej praktyki po kradzieży dokumentacji (fizycznej lub elektronicznej), co spowodowało szaleństwa zakupowe.
W przypadku każdego standardu odpowiedzialna firma przyjrzy się celowi standardu i zda sobie sprawę z problemów, które standard próbuje rozwiązać. Powoduje to (dość często) przekroczenie wymagań normy. To znaczy, jeśli rzeczywiście zdajesz sobie sprawę, że standard dotyczy ciebie :)
Jeśli masz naruszenie, tylko jedno naruszenie i byłeś nieuczciwy w kwestii zgodności (wracając do pytania), będziesz:
Nigdy nie uzyskaj innego konta handlowca. Po prostu zapomnij o tym. Równie dobrze możesz po prostu zamknąć sklep, nie masz możliwości otrzymania zapłaty.
Wciągnięty do sądu cywilnego i zobowiązany do zapłaty odszkodowania
Być może zostaniesz pociągnięty do sądu karnego z poważniejszymi konsekwencjami
Ciesz się płaceniem za ochronę tożsamości każdej dotkniętej osoby przez wiele lat
Jeśli byłeś uczciwy i postępowałeś zgodnie z zasadami dotyczącymi powiadomień / itp., Prawdopodobnie wydostaniesz się z niego z odrobiną podbitego oka, napraw wszelkie dziury, które zostały wykorzystane i wrócisz do pracy jak zwykle. Żaden system nie jest jednak w 100% odporny na kompromisy.
Prawdopodobnie masz rację zakładając, że niektóre firmy nie przestrzegają tego standardu. Jeśli założymy to, możemy również założyć, że zostały naruszone i po prostu nie poinformowały o tym umyślnie, a może (z powodu nieprzestrzegania) nie zdały sobie sprawy z naruszenia.
Visa / MC / Amex są bardzo dobrzy w znajdowaniu wzorców, w końcu wyśledzą fałszywy trend z powrotem do jednego dostawcy i ten sprzedawca będzie miał poważne kłopoty. Kluczem jest powiadomienie ich natychmiast w przypadku naruszenia, co oznacza przestrzeganie najlepszych praktyk. Jeśli będą musieli „rozgryźć to” i odkryć (bez słów), że jesteś wspólnym mianownikiem, może być dość brzydko.
W PCI DSS 10 mitów (pdf) opowiada o grzywny, opłaty prawne i ogólne złe rzeczy, więc myślę, że można zakładać, chcesz być pozwany w zapomnienie, jeśli kłamał na kwestionariuszu :)
źródło
Nawet jeśli zakładasz, że nikt nie chce sprawdzać twojego serwera, możesz zwolnić pracownika. Wtedy ten pracownik nienawidzi, że możesz udać się do VISA i narzekać na brak przestrzegania standardów.
źródło
Pracowałem dla firmy, która przechodziła proces zgodności PCI i muszę powiedzieć, że jeśli przechowujesz dane karty kredytowej i nie jesteś zgodny z PCI, narażasz swoją firmę na ryzyko.
Masz rację, ponieważ branża kart kredytowych może nigdy się nie dowiedzieć, ale po co ryzykować. Musisz pamiętać, że jeśli kiedykolwiek naruszysz bezpieczeństwo lub sprzedawca kart odkryje, że możesz stracić swój biznes i reputację.
Wiele osób uważa, że ponieważ tak się jeszcze nie stało, że tak się nie stanie w przyszłości, to po prostu nieprawda. Dowiedzenie się od Dostawcy CC lub wystąpienie naruszenia to Czarny Łabędź, ponieważ zniszczenie wymaga tylko 1 wystąpienia.
źródło
Pracujemy bardzo ciężko, aby nie przechowywać żadnych informacji i upewnić się, że są one zgodne, nie ma potrzeby na jakiekolwiek kłopoty, i upewnij się, że zawsze używasz świetnego koszyka, takiego jak miva, lub przynajmniej patrzysz na listę dostawców wózków, którzy są zgodni i są zalecane
źródło