it-swarm.asia

هل تم فحص توافق PCI؟

بعد قراءة التوصيات شديدة الصياغة فيما يتعلق بـ تخزين تفاصيل بطاقة الائتمان هنا ، يجب أن أتساءل - ماذا يحدث إذا بدأت شركة غير متوافقة مع PCI في تخزين تفاصيل بطاقة الائتمان (أنا 100 ٪ تأكد من أن هناك شركات تفعل هذا).

على سبيل المثال ، دعنا نقول أنني لم أطرح سؤالي هنا وقمت بالمضي قدماً وقررت فقط تخزين تفاصيل بطاقة ائتمان العميل واستخدمت بعض التشفير الأساسي AES. ماذا الآن؟ إذا لم يتم اختراقنا ، فهل سيسأل أحد؟ هل تريد فيزا أو تاجرنا فحص خوادمنا؟

ما هي عواقب عدم استخدام البنية التحتية المتوافقة مع PCI؟

إخلاء المسئولية: لقد تلقيت تلميحًا - هذه فكرة سيئة ولن نفعل ذلك ، لكنني فضولي

10
Mark Henderson

أتعامل مع امتثال HIPAA/HITECH أكثر من PCI/DSS مباشرة ، ومع ذلك ، فإن HIPAA يستلزم أيضًا الامتثال لمعايير PCI/DSS. لماذا ا؟ لا تعرف أبدًا متى ستحتوي السجلات الطبية على نسخة صورة من بطاقة الائتمان من الأمام والخلف. في أكثر الأحيان ، يفعلون (للأسف). عادة ما يأتي هذا من شخص يستخدم بطاقته لتسوية دفعة مشتركة. كل شيء يحصل فقط قذف في مجلد واحد.

بشكل محرج ، عندما يتم "رقمنة" هذه السجلات من قِبل جهات خارجية ، في أكثر الأحيان تحتوي قواعد البيانات الناتجة (غير المشفرة) على نسخ واضحة من معلومات CC. ليس سيئًا كما كان قبل بضع سنوات ، لكن ما زال يمثل مشكلة. السبب هناك ليس الإهمال ، جاهل لها.

لقد عانت بعض هذه المستشفيات بالفعل من هذه الممارسة ، بعد أن سُرقت السجلات (جسديًا أو إلكترونيًا) ، مما أدى إلى نوبات تسوق.

مع أي معيار ، ستنظر الشركة المسؤولة في نية وراء المعيار وتدرك المشاكل التي يحاول المعيار حلها . هذه النتائج (في كثير من الأحيان) في تتجاوز متطلبات المعيار. هذا هو ، إذا ، في الواقع كنت تدرك أن المعيار ينطبق عليك :)

إذا كان لديك خرق ، خرق واحد فقط وكنت غير شريفة بشأن الامتثال (العودة إلى سؤالك) ، فإنك:

  • لا تحصل على حساب تاجر آخر. فقط نسيانها. يمكنك كذلك إغلاق المحل ، ليس لديك وسيلة للحصول على أموال.

  • يتم نقلهم إلى المحكمة المدنية ويتعين عليهم دفع تعويضات

  • من المحتمل أن يتم نقلهم إلى المحكمة الجنائية مع عواقب أكثر خطورة

  • استمتع بالدفع مقابل حماية الهوية لكل شخص متأثر لسنوات قادمة

إذا كنت صادقًا ، واتبعت القواعد المتعلقة بالإخطار/وما إلى ذلك ، فمن المحتمل أن تخرج منه بعيون سوداء ، وتصلح أي ثقب تم استغلاله وتعود إلى العمل كالمعتاد. لا يوجد نظام ، بعد كل شيء ، 100 ٪ منيع للتسوية.

ربما تكون على صواب في افتراض أن بعض الشركات لا تتبع المعيار. إذا افترضنا ذلك ، فيمكننا أيضًا افتراض أنه قد تم خرقها وفشلنا في الإبلاغ عنها عمداً ، أو ربما (بسبب عدم الامتثال) لم يدركوا الخرق.

Visa/MC/Amex هي جدًا جيدة في العثور على الأنماط ، وفي نهاية المطاف سوف يتتبعون اتجاهًا مخادعًا إلى بائع واحد ، وهذا البائع سيكون في الكثير من المتاعب. المفتاح هنا هو إخطارهم فورًا في حالة حدوث خرق ، مما يعني اتباع أفضل الممارسات. إذا كان عليهم أن "يكتشفوا ذلك" واكتشفوا (لا يقصد التورية) أنك القاسم المشترك ، فيمكن أن يصبح ذلك قبيحًا للغاية.

3
Tim Post

PCI DSS 10 الخرافات الشائعة (pdf) تتحدث عن الغرامات والرسوم القانونية والأشياء السيئة العامة ، لذلك أعتقد أنك يمكن أن تفترض أنك ستقاضى في غياهب النسيان إذا كذبت على الاستبيان :)

4
JasonBirch

حتى عندما تفترض أن لا أحد قد يرغب في فحص الخادم الخاص بك ، فقد تطرد موظفًا. بعد ذلك يكره الموظف أنك قد تذهب إلى فيزا وتشتكي من افتقارك إلى اتباع المعايير.

2
Christian

لقد عملت لدى شركة تمر بعملية الامتثال PCI ويجب أن أقول ، إذا كنت تقوم بتخزين معلومات بطاقة الائتمان ولم تكن متوافقًا مع PCI ، فإنك تعرض شركتك للخطر.

أنت على حق في أن صناعة بطاقات الائتمان قد لا تكتشف ذلك أبدًا ، ولكن لماذا المخاطرة به. عليك أن تتذكر ، إذا كان لديك أي خرق للأمن أو اكتشف مورد بطاقات ، فيمكنك أن تفقد عملك وسمعتك.

يعتقد الكثير من الناس أنه لأنه لم يحدث بعد ، فلن يحدث ذلك في المستقبل وهذا مجرد خطأ. وجود مزود لخدمات الاتصالات (CC Provider) أو حدوث خرق هو --- البجعة السوداء لأنه لا يستغرق سوى حادث واحد لتخريبك.

1
Ben Hoffman

نعمل بجد على عدم تخزين أي معلومات والتأكد من توافقها ، ولا حاجة إلى أي فرص في حدوث المتاعب ، وتأكد دائمًا من استخدامك لعربة رائعة مثل miva ، أو على الأقل إلقاء نظرة على قائمة مزودي عربة التسوق المتوافقة و وأوصت

0
Surveillance Solutions Inc