पीसीआई अनुपालन की जांच की जाती है?

10

क्रेडिट कार्ड विवरणों के भंडारण के बारे में बहुत दृढ़ता से लिखी गई सिफारिशों को यहां पढ़ने के बाद , मुझे आश्चर्य हुआ है - क्या होगा अगर एक गैर-पीसीआई अनुपालन कंपनी क्रेडिट कार्ड विवरण संग्रहीत करना शुरू कर देती है (मुझे 100% यकीन है कि वहाँ कंपनियां हैं यह कर रहा हूं)।

उदाहरण के लिए, मान लें कि मैंने यहां पर अपना प्रश्न नहीं पूछा था और मैंने आगे जाली लगाई और बस ग्राहक क्रेडिट कार्ड विवरणों को संग्रहीत करने का निर्णय लिया और कुछ बुनियादी एईएस एन्क्रिप्शन का उपयोग किया। अब क्या? अगर हम कभी हैक नहीं होते हैं, तो क्या कोई पूछने वाला है? क्या वीज़ा, या हमारे व्यापारी कभी हमारे सर्वर का निरीक्षण करना चाहेंगे?

PCI अनुरूप बुनियादी ढांचे का उपयोग नहीं करने के परिणाम क्या हैं?

अस्वीकरण: मुझे संकेत मिलता है - यह एक बुरा विचार है और हम इसे नहीं करेंगे, लेकिन मैं उत्सुक हूं

security  pci-compliance 
मार्क हेंडरसन
स्रोत

जवाबों:

3

मैं पीसीआई / डीएसएस से सीधे HIPAA / HITECH अनुपालन के साथ अधिक व्यवहार करता हूं, हालांकि, HIPAA आमतौर पर PCI / DSS के अनुपालन की भी आवश्यकता है। क्यों? आप कभी नहीं जानते कि मेडिकल रिकॉर्ड में क्रेडिट कार्ड की फ्रंट और बैक फोटो कॉपी होगी। अधिक बार नहीं, वे (दुख की बात) करते हैं। यह आमतौर पर सह-भुगतान का निपटान करने के लिए सिर्फ अपने कार्ड का उपयोग करने वाले किसी व्यक्ति से आता है। सब कुछ बस एक फ़ोल्डर में फेंक दिया जाता है।

शर्मनाक रूप से, जब ये रिकॉर्ड तृतीय पक्षों द्वारा 'डिजीटल' किए जाते हैं, तो अधिक बार परिणामस्वरूप (अनएन्क्रिप्टेड) ​​डेटाबेसों में सीसी जानकारी की स्पष्ट प्रतियां नहीं होती हैं । यह कुछ साल पहले की तरह खराब नहीं था, लेकिन फिर भी यह एक समस्या है। कारण वहाँ लापरवाही नहीं है, इसकी स्पष्टता।

रिकॉर्ड चोरी (शारीरिक या इलेक्ट्रॉनिक रूप से) के बाद कुछ अस्पताल पहले ही इस प्रथा से पीड़ित हो चुके हैं, जिसके परिणामस्वरूप खरीदारी फैल गई है।

किसी भी मानक के साथ, एक जिम्मेदार कंपनी मानक के पीछे के इरादे को देखेगी और उन समस्याओं को महसूस करेगी जो मानक हल करने की कोशिश कर रहे हैं। यह मानक की आवश्यकताओं को पार करने के परिणामस्वरूप (काफी अक्सर) होता है । यही है, अगर, वास्तव में आपको एहसास है कि मानक आप पर लागू होता है :)

यदि आपके पास एक ब्रीच है, तो केवल एक ब्रीच और अनुपालन के बारे में बेईमान थे (आपके प्रश्न पर वापस जा रहे हैं), आप करेंगे:

  • कभी कोई अन्य व्यापारी खाता नहीं मिला। बस इसके बारे में भूल जाओ। आप बस दुकान बंद कर सकते हैं, आपके पास भुगतान करने का कोई तरीका नहीं है।

  • दीवानी न्यायालय में हर्ज हो और हर्जाना देना पड़े

  • संभवतः अधिक गंभीर परिणामों के साथ आपराधिक अदालत में पेश किया जा सकता है

  • आने वाले वर्षों के लिए हर प्रभावित व्यक्ति के लिए पहचान सुरक्षा के लिए भुगतान करने का आनंद लें

यदि आप ईमानदार थे, और अधिसूचना / आदि के बारे में नियमों का पालन करते हैं, तो आप शायद इसे थोड़ी काली आंखों से बाहर निकालेंगे, जो भी छेद का शोषण किया गया था उसे ठीक करें और हमेशा की तरह व्यवसाय पर वापस जाएं। कोई भी प्रणाली, सब के बाद, समझौता करने के लिए 100% अभेद्य है।

आप शायद यह मानने में सही हैं कि कुछ कंपनियां मानक का पालन नहीं करती हैं। यदि हम यह मान लेते हैं, तो हम यह भी मान सकते हैं कि वे भंग हो चुके हैं और बस जानबूझकर रिपोर्ट करने में विफल रहे हैं, या शायद (अनुपालन नहीं करने के कारण) उन्हें उल्लंघन का एहसास नहीं हुआ।

वीज़ा / एमसी / एमेक्स पैटर्न खोजने में बहुत अच्छे हैं , अंततः वे एक एकल विक्रेता को एक कपटपूर्ण प्रवृत्ति का पता लगाएंगे, और वह विक्रेता काफी परेशानी में होगा। यहां कुंजी उन्हें एक ब्रीच की स्थिति में तुरंत सूचित करती है, जिसका अर्थ है सर्वोत्तम प्रथाओं का पालन करना। यदि उन्हें 'यह पता लगाना है' और पता चलता है (कोई सज़ा का इरादा नहीं है) कि आप आम भाजक हैं, तो यह काफी बदसूरत हो सकता है।

टिम पोस्ट
स्रोत
वाह, मेडिकल रिकॉर्ड में क्रेडिट कार्ड - यह सिर्फ मुझे एनएचएस की और भी सराहना करता है!
निको बर्न्स
4

PCI DSS 10 आम मिथकों (पीडीएफ) जुर्माना, कानूनी शुल्क, और सामान्य बुरा चीजों के बारे में बात करती है, मुझे लगता है कि आप यह मान सकते हैं कि आप गुमनामी में मुकदमा चलाया जा चाहते हैं, तो आप प्रश्नावली पर झूठ बोला तो :)

JasonBirch
स्रोत
1
कंपनियों को हमेशा पीडीएफ में यह सामान क्यों छापना पड़ता है? एक वेबपेज में क्या गलत है? मैंने एक बार एक निर्माता से एक पीडीएफ देखा था जो एक HTML पेज का प्रिंटआउट था ...
मार्क हेंडरसन
@Farseeker ओह, कोई मज़ाक नहीं। और फिर जब यह Google में दिखाई देता है तो वे "मिलते हैं! मैं अपने भयानक डीटीपी लेआउट हो सकता है और अभी भी केक खा सकता हूं!"
जेसनब्रच जू
2

यहां तक ​​कि जब आप मानते हैं कि कोई भी आपके सर्वर का निरीक्षण नहीं करना चाहता है तो आप एक कर्मचारी को आग लगा सकते हैं। तब वह कर्मचारी आपसे घृणा करता है, आप VISA में जा सकते हैं और मानकों के पालन में आपकी कमी के बारे में शिकायत कर सकते हैं।

ईसाई
स्रोत
1

मैंने एक ऐसी कंपनी के लिए काम किया, जो PCI अनुपालन प्रक्रिया से गुजर रही थी और मुझे कहना होगा, अगर आप क्रेडिट कार्ड की जानकारी संग्रहीत कर रहे हैं और PCI अनुपालन नहीं कर रहे हैं तो आप अपनी कंपनी को जोखिम में डाल रहे हैं।

आप सही हैं कि क्रेडिट कार्ड उद्योग कभी पता नहीं लगा सकता है लेकिन यह जोखिम क्यों है। आपको याद रखना होगा, यदि आपके पास कभी सुरक्षा का उल्लंघन होता है या एक कार्ड विक्रेता को पता चलता है कि आप अपना व्यवसाय और अपनी प्रतिष्ठा खो सकते हैं।

बहुत से लोग सोचते हैं कि क्योंकि यह अभी तक नहीं हुआ है कि भविष्य में ऐसा नहीं होगा और यह सिर्फ सादा झूठ है। सीसी प्रोवाइडर का पता लगाना या ब्रीच घटित होना एक ब्लैक स्वान है क्योंकि यह आपको बर्बाद करने में केवल 1 घटना लेता है।

बेन हॉफमैन
स्रोत
0

हम बहुत मेहनत करते हैं किसी भी जानकारी को संग्रहीत नहीं करते हैं और यह सुनिश्चित करते हैं कि किसी भी समस्या का सामना करने की कोई आवश्यकता नहीं है, और सुनिश्चित करें कि आप हमेशा एक महान गाड़ी का उपयोग करते हैं जैसे कि चिरायु, या कम से कम उन कार्ट प्रदाताओं की सूची देखें जो शिकायत कर रहे हैं और पुनर्संयोजित हैं

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.