Я имею дело больше с соответствием HIPAA / HITECH, чем с PCI / DSS напрямую, однако HIPAA также обычно требует соответствия с PCI / DSS. Почему? Вы никогда не знаете, когда медицинские карты будут содержать лицевую и оборотную копию кредитной карты. Чаще всего они это делают (к сожалению). Обычно это происходит от того, что кто-то просто использует свою карту для оплаты доплаты. Все просто подбрасывается в одну папку.
Смущает то, что когда эти записи «оцифровываются» третьими лицами, чаще всего результирующие (незашифрованные) базы данных содержат четкие копии информации CC. Это не так плохо, как это было несколько лет назад, но это все еще проблема. Причиной здесь не небрежность, а ее невежество.
Несколько больниц уже пострадали от этой практики, после того как записи были украдены (физически или электронно), что привело к покупкам.
При любом стандарте ответственная компания рассмотрит цель, стоящую за стандартом, и поймет проблемы, которые стандарт пытается решить. Это приводит (довольно часто) к превышению требований стандарта. То есть если действительно понимаешь, что стандарт относится к тебе :)
Если у вас есть нарушение, всего одно нарушение, и вы нечестны в отношении соблюдения (возвращаясь к вашему вопросу), вы будете:
Никогда не получите другой торговый счет. Просто забудь об этом. С таким же успехом вы можете просто закрыть магазин, у вас нет возможности получить оплату.
Быть привлеченным в гражданский суд и должен возместить ущерб
Возможно быть привлеченным к уголовному суду с более серьезными последствиями
Наслаждайтесь оплатой защиты личности каждого пострадавшего на долгие годы
Если вы были честны и следовали правилам об уведомлении и т. Д., Вы, скорее всего, выйдете из этого черным глазом, исправите любую дыру и вернетесь к работе в обычном режиме. В конце концов, ни одна система не является на 100% непроницаемой для компромисса.
Вы, вероятно, правы, полагая, что некоторые компании не следуют стандарту. Если мы предположим, что мы можем также предположить, что они были нарушены и просто не сообщили об этом намеренно, или, возможно, (из-за несоблюдения) они не осознали нарушение.
Visa / MC / Amex очень хороши в поиске паттернов, в конечном итоге они проследят мошенническую тенденцию до одного поставщика, и у этого поставщика будет немало проблем. Ключевым моментом здесь является немедленно уведомить их в случае нарушения, что означает следование передовой практике. Если им придется «разобраться» и обнаружить (не каламбур), что вы являетесь общим знаменателем, это может стать довольно уродливым.
В PCI DSS 10 Common Myths (pdf) говорится о штрафах, судебных издержках и общих плохих вещах, поэтому я думаю, что вы можете предположить, что вас забьют, если вы солгали в вопроснике :)
источник
Даже если вы предполагаете, что никто не захочет проверять ваш сервер, вы можете уволить сотрудника. Тогда этот сотрудник ненавидит вас, вы можете пойти в VISA и жаловаться на то, что вы не соблюдаете стандарты.
источник
Я работал в компании, которая проходила процесс соответствия PCI, и должен сказать, что если вы храните информацию о кредитной карте и не соответствует требованиям PCI, вы подвергаете свою компанию риску.
Вы правы в том, что индустрия кредитных карт может никогда не узнать, но зачем рисковать. Вы должны помнить, что если у вас когда-нибудь возникнет нарушение безопасности или продавец карты узнает, что вы можете потерять свой бизнес и свою репутацию.
Многие думают, что поскольку этого еще не произошло, этого не произойдет в будущем, и это просто ложь. Наличие провайдера CC, чтобы узнать или произошло нарушение, является Черным лебедем, потому что это только 1 случай, чтобы разрушить вас.
источник
Мы очень усердно работаем, чтобы не хранить никакой информации и убедиться, что она соответствует требованиям, нет необходимости в каких-либо шансах на неприятности, и убедитесь, что вы всегда используете отличную корзину, такую как miva, или, по крайней мере, посмотрите на список поставщиков корзины, которые соответствуют требованиям и рекомендуется
источник