Trato más con el cumplimiento de HIPAA / HITECH que con PCI / DSS directamente, sin embargo, HIPAA generalmente también requiere el cumplimiento de PCI / DSS. ¿Por qué? Nunca se sabe cuándo los registros médicos contendrán una copia fotográfica frontal y posterior de una tarjeta de crédito. Más a menudo que no, lo hacen (tristemente). Esto generalmente proviene de alguien que solo usa su tarjeta para liquidar un copago. Todo simplemente se arroja en una carpeta.
De manera vergonzosa, cuando estos registros son 'digitalizados' por terceros, la mayoría de las veces las bases de datos resultantes (sin cifrar) contienen copias claras de la información de CC. No es tan malo como lo fue hace unos años, pero sigue siendo un problema. La causa no es descuido, es desorientación.
Algunos hospitales ya han sufrido esta práctica, después de que los registros fueron robados (física o electrónicamente), lo que resultó en compras.
Con cualquier estándar, una compañía responsable analizará la intención detrás del estándar y se dará cuenta de los problemas que el estándar está tratando de resolver. Esto resulta (con bastante frecuencia) en exceder los requisitos de la norma. Es decir, si realmente te das cuenta de que el estándar se aplica a ti :)
Si tiene una infracción, solo una infracción y fue deshonesto sobre el cumplimiento (volviendo a su pregunta), usted:
Nunca obtenga otra cuenta de comerciante. Solo olvídalo. También puede cerrar la tienda, no tiene forma de que le paguen.
Ser llevado a un tribunal civil y pagar daños y perjuicios.
Posiblemente sea llevado a la corte penal con consecuencias más serias
Disfrute pagando por la protección de identidad de cada persona afectada en los años venideros.
Si fue honesto y siguió las reglas sobre notificación / etc., probablemente saldrá de esto con un poco de ojo morado, arregle cualquier agujero que haya sido explotado y vuelva a los negocios como siempre. Después de todo, ningún sistema es 100% impermeable al compromiso.
Probablemente tenga razón al suponer que algunas empresas no siguen el estándar. Si asumimos eso, también podemos suponer que han sido violados y simplemente no lograron informarlo deliberadamente, o tal vez (debido al incumplimiento) no se dieron cuenta de la violación.
Visa / MC / Amex son muy buenos para encontrar patrones, eventualmente rastrearán una tendencia fraudulenta hasta un solo proveedor, y ese proveedor tendrá muchos problemas. La clave aquí es notificarlos de inmediato en caso de incumplimiento, lo que significa seguir las mejores prácticas. Si tienen que "resolverlo" y descubrir (sin juego de palabras) que usted es el denominador común, puede ponerse bastante feo.
El PCI DSS 10 Common Myths (pdf) habla sobre multas, honorarios legales y cosas malas en general, por lo que creo que puede asumir que lo demandarán al olvido si mintió en el cuestionario :)
fuente
Incluso cuando asume que nadie querrá inspeccionar su servidor, puede despedir a un empleado. Entonces ese empleado odia que usted pueda ir a VISA y quejarse de su falta de seguir los estándares.
fuente
Trabajé para una compañía que estaba pasando por el proceso de cumplimiento de PCI y tengo que decir que si está almacenando información de tarjeta de crédito y no cumple con PCI, está poniendo en riesgo a su compañía.
Tiene razón en que la industria de las tarjetas de crédito nunca puede descubrirlo, pero ¿por qué arriesgarse? Debe recordar que si alguna vez tiene una infracción de seguridad o un proveedor de tarjetas descubre que puede perder su negocio y su reputación.
Muchas personas piensan que porque aún no ha sucedido, no sucederá en el futuro y eso es simplemente falso. Hacer que un proveedor de CC lo descubra o se produzca una violación es un cisne negro porque solo se necesita 1 vez para arruinarte.
fuente
Trabajamos muy duro para no almacenar ninguna información y asegurarnos de que cumplan con los requisitos, sin necesidad de ninguna posibilidad de problemas, y asegúrese de usar siempre un gran carro como miva, o al menos mirar la lista de proveedores de carros que cumplen y son recomendados
fuente