Whistleblowing, etica aziendale e dati delle carte di credito

13

Sto scrivendo questo post perché sto affrontando un dillemma personale ed etico e vorrei ricevere feedback sul modo migliore per affrontare questa situazione, in particolare da un punto di vista filosofico.

Lavoro per una piccola impresa. Sono a tempo parziale, faccio cose da lavoro "grunt" mentre pago il college. Ho lavorato in questo campo particolare prima su una scala molto più ampia, quindi questa è una cosa abbastanza facile per me. Anche se non sono certamente pigro, e faccio il mio lavoro, non sono nemmeno un "super leale uomo d'affari" che sono stato per altri lavori a tempo pieno. Credo di sentirmi più distaccato da questo lavoro, quindi ho altri lavori in passato.

Ad ogni modo, abbiamo dipendenti che devono prendere ordini dai clienti e usiamo un sistema cartaceo. Accettiamo anche questi ordini per telefono e occasionalmente il cliente paga con una carta di credito. Il numero della carta di credito e la data di scadenza sono riportati sul retro del "biglietto" cartaceo.

So anche per certo che questi biglietti sono passati tra 3-6 persone, escono dai locali e, almeno in una occasione, vengono gettati nella spazzatura. Non triturati e gettati nella spazzatura, gettati nella spazzatura.

Conoscendo le basi molto rudimentali della conformità PCI vedo che questa è una enorme bomba legale e finanziaria in attesa di esplodere .

Non solo questo ma personalmente semplicemente non ritengo che sia giusto. I clienti ci stanno affidando queste informazioni e chiunque sia disposto a fare un viaggio di immondizia nei cassonetti della discarica locale può potenzialmente trovare il tesoro dei dati della carta di credito di un ladro. Questo è molto inquietante.

Ovviamente parlerò con il mio datore di lavoro di questo. Ma è qui che entrano in gioco i problemi etici.

Non credo che riuscirò a persuadere il proprietario perché dovrebbe cambiare questa pratica o che ne vale la pena. Il proprietario è piuttosto scortese quando si tratta di cose, a mio parere, e si limita semplicemente a ignorare la possibilità che qualcosa accada con queste informazioni sia altamente improbabile.

Quanto lontano dovrei prendere questo senza essere irragionevole pur rimanendo etico?

Sta semplicemente informando il proprietario della completa e totale mancanza di rispetto per la sicurezza dei dati dei clienti abbastanza? Anche se nel profondo del mio stomaco non penso che sia? Anche se nel profondo voglio gridare a qualche organismo di regolamentazione della conformità per venire a correggere questa debacle?

Sono combattuto tra non voler danneggiare l'attività del proprietario e allo stesso tempo assicurare che la politica attuale sui dati della carta di credito sia stata interrotta.

In breve:

È più immorale essere l'informatore, possibilmente danneggiando seriamente questo business, o stand-by e non fare nulla?

    
posta Reid 24.07.2011 - 10:26
fonte

3 risposte

10

Se la tua conformità o il tuo organismo di regolamentazione è percepito come PCI, non sei corretto. Fanno le regole e le linee guida, ma in questa situazione è la banca che acquisisce le tue società (la banca che ha emesso il tuo numero di commerciante ed elabora i tuoi pagamenti).

Qual è il volume dei dati dei titolari di carta che vengono ritirati dal locale o gettati via senza distruggere? Dalla tua descrizione sembra piuttosto basso. Qual è il livello (quante transazioni all'anno) è la vostra azienda? Saranno soggetti ad almeno un questionario SAQ (questionario di autovalutazione) in cui il proprietario sta firmando il suo nome per rispettare le regole del PCI (questo è ovviamente se la banca che effettua l'acquisizione sta effettivamente facendo qualcosa per PCI e richiede questa della tua azienda) .

La cosa migliore secondo me è rendere il problema facile da risolvere. Dopotutto, sembra un problema puramente procedurale / operativo. Se offri una soluzione invece di un problema, la mia ipotesi è che potresti ottenere molto di più non solo per risolvere il problema (supponendo che tu stia cercando di risolverlo) e forse alcuni complimenti dal tuo capo (se ti interessa).

Un trituratore con taglio incrociato è di circa $ 50. Sono sicuro che potresti trovare un armadietto per conservare i dati dei titolari di carta su supporto cartaceo fino a quando non viene triturato su craigslist o di seconda mano per $ 10-20. Ci vorrebbero circa 20 minuti per redigere una politica per i dipendenti di non trasferire i dati dei titolari di carta fuori sede e di scartare solo i dati dei titolari di carta in detto armadio di chiusura. Le persone 6+ che vedono i dati non violano PCI se hanno bisogno / sono autorizzati a vederlo.

Se vuoi davvero risolvere il problema, offri una soluzione economica al tuo capo insieme alle tue preoccupazioni.

    
risposta data 25.07.2011 - 17:53
fonte
5

Dichiarazione di non responsabilità: non sono qualificato per offrire consulenza legale. Se hai bisogno di una consulenza legale, consulta un medico appropriato.

Non so in quale paese o giurisdizione legale ci si trova, ma potrebbero esserci richieste di leggi sulla segnalazione. Ad esempio, se sei a conoscenza di un'attività illegale o non etica (che potrebbe essere o non essere), potresti essere legalmente obbligato a segnalarlo.

È eticamente necessario portare questa attività all'attenzione di qualcuno che tenterà di correggerlo. I clienti si affidano a questa azienda e la loro fiducia viene tradita. Da un punto di vista utilitaristico sembra che molti più clienti siano danneggiati di quanto non ci siano impiegati incuranti.

A meno che la segnalazione non sia richiesta dalla legge, ritengo sia giusto presentarlo a un manager all'interno dell'azienda prima di fare riferimento alla conformità o all'autorità normativa. Potresti avere ragione nella tua previsione sulla risposta del management, ma potresti anche sbagliarti, motivo per cui è giusto dare loro l'opportunità di correggere il problema.

Il problema più grande che vedo è un potenziale gioco contro di te se comunichi la tua gestione, non fanno nulla e quindi rinvii il problema a un'autorità di conformità o normativa. Se non si è interessati al potenziale gioco di ritorno, procederei notificando la propria gestione. Se sei preoccupato per il potenziale contraccolpo, puoi pensare di aggirare la tua gestione e andare direttamente alla conformità o alle autorità di regolamentazione.

    
risposta data 24.07.2011 - 23:44
fonte
1

Di solito in queste situazioni le persone che prendono le decisioni aziendali entrano nel solco di "Non mi succederà mai niente di brutto?" o "Chi vorrebbe colpire questa piccola azienda, quando ci sono pesci grandi là fuori". È onestamente e veramente una decisione commerciale.

Se questo proprietario è così assente, quasi penserei che voi ragazzi avete un problema più grande con i dipendenti che mettono quei documenti in tasca invece della spazzatura poiché non vi è alcuna responsabilità.

Questa è ovviamente una linea molto delicata che devi percorrere, se ti senti a disagio su dove stai lavorando a causa di ciò che stanno facendo eticamente. La cosa migliore è probabilmente per te cercare un altro lavoro. Il problema è che, anche se hai ragione, non hai credibilità. Come vedresti qualcuno che lavora per te su base part-time / limitata e ti ha detto che i tuoi processi aziendali sono sbagliati. Certo, probabilmente è più facile in un'azienda più piccola che in una più grande, ma è più probabile che scatti nella brezza. Se ottieni un colloquio di uscita, assicurati di far conoscere rispettosamente il "perché".

Non cambierà fino a quando qualcuno con maggiore potere rispetto al tuo proprietario dice loro che deve cambiare.

    
risposta data 27.07.2011 - 16:16
fonte

Leggi altre domande sui tag