La conformità PCI può prevenire le multe?

5

Stiamo lavorando duramente per ottenere la conformità PCI per un progetto e probabilmente spenderanno centinaia di dollari ogni mese, ma mi stavo chiedendo cosa succederebbe se, Dio non voglia, succedesse qualcosa di improbabile e ci fosse una violazione in qualche modo, facciamo ancora pagare per le "richieste" e i dati del titolare della carta esposti nonostante fossimo conformi PCI?

Sto solo considerando lo scenario peggiore, perché se aziende come Sony possono essere violate, allora siamo una piccola startup dopotutto.

    
posta Nimbuz 17.12.2012 - 17:50
fonte

3 risposte

4

La conformità PCI non è un'assicurazione.
Non è una vera misura di protezione.

Riassumo il valore della conformità PCI nella mia nota legge omonima, Legge di conformità di AviD :

PCI compliance reduces the risk of the penalties of non-compliance.

In altre parole, un po 'come il pagamento delle tasse è un requisito, ma non ti dà necessariamente diritto a nessun beneficio governativo specifico: hai per essere conforme. E se non lo sei, dovrà pagare una multa. Ma questo non aiuta necessariamente a prevenire le violazioni o rispondere a loro ...

Come ho risposto in Applicabilità della scansione di vulnerabilità per PCI DSS , la conformità non riguarda la sicurezza.
Come le altre risposte citate, è necessario implementare i controlli di sicurezza e le funzionalità di sicurezza a parte dalla conformità. Se vieni violato, hai ancora conseguenze da questo.

Tuttavia, essere conforme in caso di violazione significa che non riceverai una multa di non conformità. (Vedi la legge di AviD sopra ...) Dovrai pagare qualsiasi altro costo, come danni e costi di riparazione, ma almeno non ci sarà una multa (beh, almeno non da PCI - altre leggi e regolamenti potrebbero applicare).

    
risposta data 19.12.2012 - 10:39
fonte
3

Tieni presente che ottenere l'approvazione di QSA per conformità non significa necessariamente che ti impegni con PCI.

Sebbene sia necessario dimostrare la conformità PCI, sarà meglio concentrarsi su come ottenere i controlli giusti, che ti proteggeranno e ti metteranno in una buona posizione per passare PCI.

E sì, avrai ancora tutti i costi previsti se ti viene violato.

    
risposta data 17.12.2012 - 18:29
fonte
1

Sì, paghi per quelle richieste anche se sei conforme PCI. Ma essere conforme PCI significa anche che è molto, molto meno probabile che si verifichi tale violazione.

Considera stripe - quindi non hai i dati della carta di credito su file da hackerare e devi solo preoccuparti del tipo di violazione in cui un hacker riceve le email dei tuoi acquirenti ed invia email a tutti che i loro dati sono stati compromessi (quando in realtà non ha).

Anche questo ti porterà una multa, perché hai permesso che la lista delle email venisse hackerata e guadagnasse cattiva pubblicità per l'intero settore PCI.

La tua opinione che il fatto di essere multato "anche se sono compatibile PCI" non è giusto - sembra che tu non abbia alcuna intenzione di impegnarsi con la vera idea qui discussa - assumersi la responsabilità di assicurarsi che i dati del titolare della carta siano sicuro.

    
risposta data 18.12.2012 - 00:05
fonte

Leggi altre domande sui tag