it-swarm.cn

是否仔细审查了PCI合规性?

在阅读了关于 存储信用卡详细信息 的措辞非常强烈的建议后,我不得不怀疑 - 如果非PCI兼容公司开始存储信用卡详细信息会发生什么(我是100%确定那里有公司这样做)。

例如,假设我没有在这里问我的问题而且我已经向前推进并且决定存储客户信用卡详细信息并使用一些基本的AES加密。怎么办?如果我们永远不被黑客攻击,有人会问吗? Visa或我们的商家是否会想要检查我们的服务器?

不使用PCI兼容基础架构会产生什么后果?

免责声明:我得到了提示 - 这是一个的想法,我们不会这样做,但我很好奇

10
Mark Henderson

我直接处理HIPAA/HITECH合规性比PCI/DSS更多,但是,HIPAA通常还需要遵守PCI/DSS。为什么?您永远不知道医疗记录何时会包含信用卡的正面和背面照片副本。他们经常(遗憾地)这样做。这通常来自有人使用他们的卡来结算共同付款。一切都被扔进了一个文件夹。

令人尴尬的是,当这些记录被第三方“数字化”时,生成的(未加密的)数据库通常包含清除CC信息的副本。它没有几年前那么糟糕,但它仍然是一个问题。原因不是粗心大意,而是无知。

在记录被盗(物理或电子)后,一些医院已经遭受这种做法,导致购物狂潮。

对于任何标准,负责任的公司将查看标准背后的意图并实现标准试图解决的问题。这导致(经常)超过标准的要求。也就是说,如果,确实你意识到标准适用于你:)

如果您有违规行为,只有一次违规并且对合规性不诚实(回到您的问题),您将:

  • 永远不会得到另一个商家帐户。忘掉它。您也可以关闭商店,您无法获得报酬。

  • 被拖入民事法庭并且必须支付赔偿金

  • 可能被拖入刑事法庭,后果更严重

  • 在未来几年内,为每位受影响的人士享受身份保护

如果你是诚实的,并遵循有关通知/等的规则,你可能会用一点黑眼圈来解决它,修复任何被利用的漏洞并像往常一样恢复业务。毕竟,没有任何系统可以100%不受妥协。

假设某些公司不遵守该标准,您可能是正确的。如果我们假设这一点,我们也可以假设它们已被违反,并且未能故意报告,或者(由于不遵守)他们没有意识到违规行为。

Visa/MC/Amex是非常善于发现模式,最终他们会将欺诈趋势追溯到单一供应商,那个供应商会遇到很多麻烦。这里的关键是在发生违规时立即通知他们,这意味着遵循最佳做法。如果他们必须“弄明白”并发现(没有双关语意)你是共同的标准,它可能会变得非常丑陋。

3
Tim Post

PCI DSS 10常见神话 (pdf)谈论罚款,律​​师费和一般坏事,所以我想你可以假设如果你说谎你会被起诉被遗忘在问卷上:)

4
JasonBirch

即使您认为没有人可能想要检查您的服务器,您也可能会解雇员工。然后那个员工讨厌你可能会去VISA并抱怨你没有遵守这些标准。

2
Christian

我在一家正在进行PCI合规流程的公司工作,我不得不说,如果您存储信用卡信息并且不符合PCI标准,那么您的公司将面临风险。

你是正确的,信用卡行业可能永远不会发现,但为什么要冒风险。您必须记住,如果您违反安全规定或卡供应商发现您可能会失去您的业务和声誉。

许多人认为,因为它还没有发生,它将来不会发生,这是完全错误的。让CC提供商发现或发生违规是 黑天鹅 因为它只需要1次就可以毁掉你。

1
Ben Hoffman

我们非常努力不存储任何信息并确保符合要求,不需要任何麻烦,并确保您始终使用像miva这样的购物车,或至少查看符合规定的购物车提供商列表推荐

0