Sto scrivendo questo post perché sto affrontando un dillemma personale ed etico e vorrei ricevere feedback sul modo migliore per affrontare questa situazione, in particolare da un punto di vista filosofico.
Lavoro per una piccola impresa. Sono a tempo parziale, faccio cose da lavoro "grunt" mentre pago il college. Ho lavorato in questo campo particolare prima su una scala molto più ampia, quindi questa è una cosa abbastanza facile per me. Anche se non sono certamente pigro, e faccio il mio lavoro, non sono nemmeno un "super leale uomo d'affari" che sono stato per altri lavori a tempo pieno. Credo di sentirmi più distaccato da questo lavoro, quindi ho altri lavori in passato.
Ad ogni modo, abbiamo dipendenti che devono prendere ordini dai clienti e usiamo un sistema cartaceo. Accettiamo anche questi ordini per telefono e occasionalmente il cliente paga con una carta di credito. Il numero della carta di credito e la data di scadenza sono riportati sul retro del "biglietto" cartaceo.
So anche per certo che questi biglietti sono passati tra 3-6 persone, escono dai locali e, almeno in una occasione, vengono gettati nella spazzatura. Non triturati e gettati nella spazzatura, gettati nella spazzatura.
Conoscendo le basi molto rudimentali della conformità PCI vedo che questa è una enorme bomba legale e finanziaria in attesa di esplodere .
Non solo questo ma personalmente semplicemente non ritengo che sia giusto. I clienti ci stanno affidando queste informazioni e chiunque sia disposto a fare un viaggio di immondizia nei cassonetti della discarica locale può potenzialmente trovare il tesoro dei dati della carta di credito di un ladro. Questo è molto inquietante.
Ovviamente parlerò con il mio datore di lavoro di questo. Ma è qui che entrano in gioco i problemi etici.
Non credo che riuscirò a persuadere il proprietario perché dovrebbe cambiare questa pratica o che ne vale la pena. Il proprietario è piuttosto scortese quando si tratta di cose, a mio parere, e si limita semplicemente a ignorare la possibilità che qualcosa accada con queste informazioni sia altamente improbabile.
Quanto lontano dovrei prendere questo senza essere irragionevole pur rimanendo etico?
Sta semplicemente informando il proprietario della completa e totale mancanza di rispetto per la sicurezza dei dati dei clienti abbastanza? Anche se nel profondo del mio stomaco non penso che sia? Anche se nel profondo voglio gridare a qualche organismo di regolamentazione della conformità per venire a correggere questa debacle?
Sono combattuto tra non voler danneggiare l'attività del proprietario e allo stesso tempo assicurare che la politica attuale sui dati della carta di credito sia stata interrotta.
In breve:
È più immorale essere l'informatore, possibilmente danneggiando seriamente questo business, o stand-by e non fare nulla?