Come posso segnalare violazioni PCI-DSS?

10

Una grande catena di supermercati nel Regno Unito, sono che memorizzano le loro password in testo semplice . Apparentemente, il dipartimento di sicurezza di Mastercard è già coinvolto. Mi piacerebbe segnalarli per violazione del PCI-DSS, poiché la mancanza di sicurezza di sessione e password unhashed rappresentano seri problemi di sicurezza.

Non riesco a vedere nulla sulla segnalazione di violazioni sul sito Web PCI - qualsiasi idea se c'è un contatto o un'email di contatto per questo genere di cose?

    
posta Polynomial 30.07.2012 - 15:35
fonte

3 risposte

3

Prima di tutto, grazie per aver condiviso questo post molto interessante e rivelatore di Troy Hunt. Per quanto riguarda la tua domanda, dopo aver effettuato una seria ricerca su Google e dopo aver consultato i professionisti PCI DDS, la risposta migliore che posso darti è:

Se l'entità è conforme e ancora una violazione di uno dei requisiti viene scoperta da un cliente o un altro agente esterno, lui / lei dovrebbe essere in grado di segnalare il problema al supporto o al contatto dell'azienda in quanto non vi è alcuna diretta o formale riferimento o procedura richiesta da PCI.

In altre parole: "Go fish"

    
risposta data 30.07.2012 - 16:52
fonte
1

a) PCI-DSS è uno standard, non una certificazione. È richiesto dalle banche che forniscono servizi di pagamento con carta, e sono loro che decidono se un commerciante soddisfa lo standard per la loro soddisfazione.

b) Come fai a sapere che non sono conformi con PCI-DSS? Puoi avere una sicurezza molto scarsa in tutti i settori della tua attività e rispettare lo standard, ma è strettamente focalizzato solo sulle carte di credito.

c) Poiché PCI-DSS si riferisce a un contratto privato tra una banca e il suo cliente, qual è la loro conformità o non conformità a PCI-DSS della tua azienda?

    
risposta data 30.07.2012 - 15:55
fonte
0

Gli unici 2 modi in cui so che la conformità viene applicata sono quelli di una verifica pagata da terze parti o dopo che il sistema si è bloccato, quindi è troppo tardi.

Riferirò questo ai tuoi alti dirigenti o ai responsabili della conformità e non faranno nulla per risolvere il problema, avrai almeno la traccia cartacea che hai segnalato nel caso in cui l'azienda venga compromessa o verificata (terza parte o nutrita) .

Il miglior consiglio che posso dare è di BCC un account di posta elettronica esterno con una password diversa (sul tuo account esterno) quando invii queste e-mail. Ricorda loro che un errore come questo può costare loro l'azienda ed è altrettanto importante quanto una buona soluzione di backup TESTED.

    
risposta data 30.07.2012 - 23:57
fonte

Leggi altre domande sui tag