มีการตรวจสอบความสอดคล้องของ PCI หรือไม่

หลังจากอ่านคำแนะนำที่มีคำพูดอย่างมากเกี่ยวกับการจัดเก็บรายละเอียดบัตรเครดิตที่นี่ฉันต้องสงสัย - จะเกิดอะไรขึ้นหาก บริษัท ที่ไม่ได้ใช้ PCI เริ่มเก็บรายละเอียดบัตรเครดิต (ฉันแน่ใจ 100% ว่ามี บริษัท อยู่ที่นั่นด้วย) ทำสิ่งนี้)

ตัวอย่างเช่นสมมติว่าฉันไม่ได้ถามคำถามของฉันที่นี่และฉันปลอมแปลงไปข้างหน้าและเพิ่งตัดสินใจเก็บรายละเอียดบัตรเครดิตลูกค้าและใช้การเข้ารหัส AES ขั้นพื้นฐานบางอย่าง ตอนนี้คืออะไร หากเราไม่ถูกแฮ็กใครจะถามบ้าง Visa หรือผู้ค้าของเราจะต้องการตรวจสอบเซิร์ฟเวอร์ของเราหรือไม่

อะไรคือผลของการไม่ใช้โครงสร้างพื้นฐานที่เป็นไปตามมาตรฐาน PCI?

_{คำเตือน: ฉันได้รับคำใบ้ - นี่เป็นความคิดที่ไม่ดีและเราจะไม่ทำ แต่ฉันอยากรู้}

ฉันจัดการกับการปฏิบัติตาม HIPAA / HITECH มากกว่า PCI / DSS โดยตรงอย่างไรก็ตาม HIPAA มักจำเป็นต้องปฏิบัติตาม PCI / DSS ด้วย ทำไม? คุณไม่มีทางรู้ได้เลยว่าเมื่อใดเวชระเบียนจะมีสำเนาภาพถ่ายด้านหน้าและด้านหลังของบัตรเครดิต บ่อยกว่านั้นพวกเขาทำ (เศร้า) ซึ่งมักมาจากคนที่ใช้บัตรชำระเงินร่วม ทุกอย่างเพิ่งถูกโยนในโฟลเดอร์เดียว

เปิ่นเมื่อบันทึกเหล่านี้ 'ดิจิทัล' โดยบุคคลที่สามบ่อยกว่าไม่ส่งผล (ที่ไม่ได้เข้ารหัส) ฐานข้อมูลมีความชัดเจนสำเนาของข้อมูลของ CC มันไม่เลวเท่าเมื่อสองสามปีก่อน แต่มันก็ยังมีปัญหาอยู่ สาเหตุไม่มีความประมาทเลินเล่อ

โรงพยาบาลสองสามแห่งได้รับความทุกข์ทรมานจากการปฏิบัติเช่นนี้หลังจากบันทึกถูกขโมย (ทั้งทางร่างกายหรือทางอิเล็กทรอนิกส์) ส่งผลให้เกิดการช็อปปิ้ง

ด้วยมาตรฐานใด ๆ บริษัท ที่รับผิดชอบจะพิจารณาเจตนาที่อยู่เบื้องหลังมาตรฐานและตระหนักถึงปัญหาที่มาตรฐานพยายามแก้ไข ผลลัพธ์นี้ (ค่อนข้างบ่อย) เกินความต้องการของมาตรฐาน นั่นคือถ้าคุณรู้จริงว่ามาตรฐานนั้นมีผลกับคุณ :)

หากคุณมีการฝ่าฝืนเพียงแค่การละเมิดเดียวและไม่ซื่อสัตย์เกี่ยวกับการปฏิบัติตาม (กลับไปที่คำถามของคุณ) คุณจะ:

• ไม่เคยได้รับบัญชีผู้ค้าอื่น แค่ลืมมัน คุณอาจปิดร้านค้าคุณไม่มีทางรับเงิน

• ถูกลากเข้าสู่ศาลแพ่งและต้องชดใช้ค่าเสียหาย

• อาจถูกลากเข้าสู่ศาลอาญาด้วยผลที่รุนแรงกว่านี้

• สนุกกับการจ่ายเพื่อการปกป้องตัวตนสำหรับทุกคนที่ได้รับผลกระทบในอนาคต

หากคุณซื่อสัตย์และปฏิบัติตามกฎระเบียบเกี่ยวกับการแจ้งเตือน / ฯลฯ คุณอาจจะออกจากตาดำสักหน่อยแก้ไขช่องโหว่ใด ๆ ที่ถูกเอาเปรียบและกลับไปทำธุรกิจตามปกติ ไม่มีระบบใด ๆ ทั้งสิ้น 100% ที่จะประนีประนอม

คุณอาจถูกต้องโดยสมมติว่าบาง บริษัท ไม่ปฏิบัติตามมาตรฐาน หากเราคิดว่าเราสามารถสันนิษฐานได้ว่าพวกเขาถูกละเมิดและไม่สามารถรายงานได้อย่างจงใจหรือบางที (เนื่องจากไม่ปฏิบัติตาม) พวกเขาไม่ได้ตระหนักถึงการละเมิด

Visa / MC / Amex นั้นดีมากในการค้นหารูปแบบในที่สุดพวกเขาจะติดตามแนวโน้มการฉ้อโกงกลับไปที่ผู้ขายรายเดียวและผู้ขายนั้นจะมีปัญหาค่อนข้างน้อย กุญแจที่นี่จะแจ้งให้ทราบทันทีในกรณีที่มีการละเมิดซึ่งหมายถึงการปฏิบัติที่ดีที่สุด หากพวกเขาต้อง 'คิดออก' และค้นพบว่าคุณเป็นตัวส่วนร่วมก็ไม่น่าจะเป็นไปได้

PCI DSS 10 ตำนานทั่วไป (PDF) พูดคุยเกี่ยวกับค่าปรับค่าธรรมเนียมตามกฎหมายและสิ่งที่ไม่ดีโดยทั่วไปดังนั้นฉันคิดว่าคุณสามารถสันนิษฐานได้ว่าคุณต้องการจะฟ้องเรียกค่าเสียหายในการให้อภัยถ้าคุณโกหกในแบบสอบถาม :)

แม้ในขณะที่คุณสมมติว่าไม่มีใครอาจต้องการตรวจสอบเซิร์ฟเวอร์ของคุณคุณอาจไล่พนักงานออก จากนั้นพนักงานคนนั้นเกลียดคุณอาจไปที่ VISA และบ่นเกี่ยวกับการที่คุณไม่ปฏิบัติตามมาตรฐาน

ฉันทำงานให้กับ บริษัท ที่กำลังดำเนินการตามมาตรฐาน PCI และต้องบอกว่าถ้าคุณเก็บข้อมูลบัตรเครดิตและไม่เป็นไปตาม PCI คุณกำลังทำให้ บริษัท ของคุณตกอยู่ในความเสี่ยง

คุณถูกที่อุตสาหกรรมบัตรเครดิตไม่อาจทราบได้ แต่ทำไมจึงมีความเสี่ยง คุณต้องจำไว้ว่าหากคุณเคยฝ่าฝืนการรักษาความปลอดภัยหรือผู้ขายการ์ดรู้ว่าคุณอาจสูญเสียธุรกิจและชื่อเสียงของคุณ

หลายคนคิดว่าเพราะมันยังไม่เกิดขึ้น แต่มันจะไม่เกิดขึ้นในอนาคตและนั่นเป็นเพียงความเท็จธรรมดา การมีผู้ให้บริการ CC ค้นหาหรือเกิดการฝ่าฝืนคือBlack Swanเพราะจะเกิดขึ้นเพียงครั้งเดียวที่จะทำลายคุณ

เราทำงานหนักมากที่จะไม่เก็บข้อมูลใด ๆ และตรวจสอบให้แน่ใจว่าเป็นไปตามข้อกำหนดไม่จำเป็นต้องมีปัญหาใด ๆ และต้องแน่ใจว่าคุณใช้ตะกร้าสินค้าที่ยอดเยี่ยมเช่น miva หรืออย่างน้อยก็ดูรายการผู้ให้บริการรถเข็นที่สอดคล้องและ ได้รับการแนะนำ