ここでクレジットカードの詳細の保存に関する非常に強力な推奨事項を読んだ後、疑問に思うことがあります。PCIに準拠していない会社がクレジットカードの詳細の保存を開始した場合はどうなりますか(そこに会社があることは100%確信しています)これを行う)。
たとえば、私がここで質問をしていなかったとして、私は前に偽って、顧客のクレジットカードの詳細を保存し、いくつかの基本的なAES暗号化を使用することに決めたとしましょう。それで?私たちがハッキングされないのであれば、誰かが尋ねるのですか?Visa、または私たちの商人は、これまでに私たちのサーバーを検査したいと思いますか?
PCI準拠のインフラストラクチャを使用しないとどうなりますか?
免責事項:私はヒントを得る-これは悪い考えであり、私たちはそれをしませんが、私は好奇心旺盛です
回答:
私はPCI / DSSよりも直接HIPAA / HITECHコンプライアンスを扱っていますが、HIPAAは通常PCI / DSSへのコンプライアンスも必要とします。どうして?医療記録にクレジットカードの表と裏の写真のコピーがいつ含まれるかはわかりません。多くの場合、彼らは(悲しいことに)そうしています。これは通常、自分のカードを使用して自己負担を決済する人からのものです。すべてが1つのフォルダーに捨てられます。
恥ずかしいことに、これらのレコードがサードパーティによって「デジタル化」されると、多くの場合、結果の(暗号化されていない)データベースにはCC情報の明確なコピーが含まれます。数年前ほど悪くはありませんが、それでも問題があります。原因は不注意ではなく、その無知です。
一部の病院では、記録が(物理的または電子的に)盗まれた後、すでにこの習慣に悩まされており、その結果、買い物が行われています。
どんな規格でも、責任ある会社は規格の背後にある意図を見て、規格が解決しようとしている問題を認識します。これは(かなり頻繁に)標準の要件を超える結果になります。つまり、実際に基準が適用されることに気づいた場合:)
違反があり、違反が1つだけあり、コンプライアンスについて不正直だった場合(質問に戻る)、次のようになります。
別の販売アカウントを取得しないでください。忘れてよ。店を閉鎖するだけで、支払いを受ける方法がありません。
民事裁判所に送られ、損害賠償を支払わなければならない
おそらく刑事裁判所に送られ、より深刻な結果をもたらす
影響を受けるすべての人のID保護の支払いを今後数年間お楽しみください
あなたが正直で、通知などに関するルールに従っている場合は、おそらく少し黒い目でそれから抜け出し、悪用された穴を修正して、通常どおりビジネスに戻ります。結局、どのシステムも妥協の影響を受けません。
一部の企業が標準に従っていないと想定することはおそらく正しいでしょう。それを前提とする場合、違反があり、故意にそれを報告できなかった、または(準拠していないため)違反を認識しなかったと見なすこともできます。
Visa / MC / Amexはパターンを見つけるのが非常に得意ですが、最終的には詐欺的な傾向を追跡して単一のベンダーに戻り、そのベンダーはかなりのトラブルに直面します。ここで重要なのは、違反が発生した場合に直ちに通知することです。つまり、ベストプラクティスに従うことです。彼らが「それを見つけ出す」必要があり、あなたが一般的な分母であることを(しゃれが意図されていない)発見する必要がある場合、それはかなり醜くなります。
PCI DSS 10共通の神話(PDFファイル)の罰金、弁護士費用、および一般的な悪い事について話し合い、私はあなたがアンケートに嘘をついた場合は、忘却の彼方に訴えられるだろうと想定することができると思いますので、:)
私は、PCIコンプライアンスプロセスを経ている会社で働いていました。クレジットカード情報を保存していて、PCIに準拠していない場合、会社を危険にさらしています。
あなたはクレジットカード業界がそれを危険にさらすことは決して見つけられないかもしれないという理由で正しいです。セキュリティに違反したり、カードベンダーがあなたのビジネスとあなたの評判を失う可能性があることを発見した場合、覚えておく必要があります。
多くの人々は、それがまだ起こっていないため、将来は起こらないと考えており、それは単なる誤りです。CCプロバイダーが発見したり違反が発生したりすると、ブラックスワンになります。
私たちは情報を保存しないように非常に努力し、準拠していること、問題が発生する可能性がないことを確認し、常にmivaなどの優れたカートを使用するか、少なくとも準拠しているカートプロバイダーのリストを確認します。推奨されます