Il commerciante ha inviato un'email a me con tutte le informazioni della mia carta di credito

(Nota: non è un QSA PCI, ma solo alcune informazioni su PCI e PII)

Violare lo standard di sicurezza dei dati dell'industria delle carte di pagamento non è una violazione della legge. PCI DSS è un accordo tra le società delle carte di pagamento (VISA, ecc.) Ei processori su come i dati saranno protetti.

La società di rimorchio è probabilmente in violazione di un accordo con il loro processore in questo modo - e quasi certamente sarebbe più responsabile in caso di informazioni trapelate.

Se l'e-mail indica il processore della carta di credito, è possibile contattarli. È anche possibile contattare direttamente la società di rimorchio. Infine, come suggerisce @Matthew, dovresti informare la banca quando annulli.

Un'ulteriore possibilità è quella di guardare gli statuti delle informazioni identificabili personalmente nel tuo stato (supponendo che tu sia negli Stati Uniti). Gli statuti PII variano ampiamente a seconda della località, ma considerano ampiamente il numero di carta di credito (noto come PAN) come contante come PII (insieme alle altre informazioni personali presumibilmente in quell'email). Se la tua sede ha un commissario per la privacy, potresti farlo con quel dipartimento. La maggior parte degli statuti PII ha requisiti che le aziende trattano le PII con cure appropriate e ci sono alcune sanzioni significative per non farlo in molte giurisdizioni.

Per PCI, puoi consultare questa scheda informativa sulla segnalazione di violazioni

Assumerò "Government" == "US" poiché è NOS.

Is there a government agency where I can file a complaint?

Non proprio. Il governo ha ha iniziato a farsi coinvolgere in grandi violazioni , ma non si occupano di piccole cose. I requisiti PCI, che regolano le protezioni che i commercianti devono applicare riguardo alla gestione dei dati delle carte, sono restrizioni non governative basate sul consenso. Non puoi essere arrestato per aver violato il PCI perché non è una legge.

Potresti certamente provare a lamentarti con le agenzie per la protezione dei consumatori, che contano come lamentele, ma non farà molto.

Potresti presentare una causa. Quasi certamente ti costerà più di quanto puoi aspettarti di guadagnare, vincere o perdere.

I believe my credit card is now compromised and I am going to cancel it and get it reissued.

Quando lo fai, chiarisci che il motivo per cui lo fai è la trasmissione non crittografata di dati di carte in chiaro dal commerciante. Esistono multe per non conformità PCI e l'unica la possibilità che entrino a calci è se c'è una violazione o se si presenta uno schema significativo di lamentele. (Ciò detto, per un'azienda di rimorchio, le probabilità di reclami che si innalzano fino a un livello tale da innescare sanzioni pecuniarie sono prossime allo zero.)

Se riesci a capire chi sono, e puoi capire come lamentarti, puoi sporgere reclamo sul processore della carta di credito del commerciante. Gli stessi avvertimenti si applicano a chi non ascolta i reclami da due soldi; solo i modelli di comportamento scorretto diffuso possono scatenare una risposta.

I don't believe this company has a clue about the risk they are placing their company in.

Beh, non lo sono davvero. Il sistema punisce solo guasti eclatanti, non conformità delle line-item. I piccoli commercianti sono effettivamente sul sistema d'onore e non sono sottoposti a un controllo imparziale. Non è giusto, ma nemmeno la vita.

Per essere onesti, è probabile che la risposta più efficace che avresti potrebbe essere quella di avvicinare il commerciante, dire loro che l'invio di un PAN (numero di carta) tramite e-mail non crittografata non è consentito dal loro accordo di elaborazione della carta di credito, e chiedere loro per modificare i loro sistemi per mascherare tutti tranne le ultime 4 cifre. Se lo fai in modo educato e non aggressivo, potrebbero persino farlo. (Se ti avvicini a loro in modo negativo o rimprovero, non dovresti aspettarti che cambi nulla, tranne la loro volontà di rimorchiarti la prossima volta che ti abbatti).

Attenzione: risposta USA-centrica, la domanda si interroga su un governo senza specificare una giurisdizione: (

Sì, una specie di.

Se "tutte le informazioni sulla carta di credito" includono la data di scadenza o le cifre del numero di carta diverso dagli ultimi cinque, il fatto che su una ricevuta sia una violazione di FACTA, che consente anche di citarli personalmente.

Il il sito web della FTC ha dettagli .

Le parti più rilevanti:

According to the federal Fair and Accurate Credit Transaction Act (FACTA), the electronically printed credit and debit card receipts you give your customers must shorten — or truncate — the account information. You may include no more than the last five digits of the card number, and you must delete the card’s expiration date.

e

Noncompliance could open a company up to an FTC law enforcement action, including civil penalties and injunctive relief. In addition, the law allows consumers to sue businesses that don’t comply and to collect damages and attorney’s fees.

Ma FACTA si applica solo alle ricevute "stampate elettronicamente" e le corti trovate in Simonoff v. Expedia che questo non include l'e-mail.

Tuttavia, la legge Gramm-Leach-Bliley richiede anche che le imprese salvaguardino le informazioni finanziarie dei clienti e la FTC fornisce un esempio pertinente :

Take steps to ensure the secure transmission of customer information. For example:

• When you transmit credit card information or other sensitive financial data, use a Secure Sockets Layer (SSL) or other secure connection, so that the information is protected in transit.
• If you collect information online directly from customers, make secure transmission automatic. Caution customers against transmitting sensitive data, like account numbers, via email or in response to an unsolicited email or pop-up message.
• If you must transmit sensitive data by email over the Internet, be sure to encrypt the data.

Sembra certamente che non siano diligenti in questo settore e sicuramente non ci saranno problemi con la presentazione di un reclamo FTC.