Come posso segnalare violazioni PCI-DSS?

Prima di tutto, grazie per aver condiviso questo post molto interessante e rivelatore di Troy Hunt. Per quanto riguarda la tua domanda, dopo aver effettuato una seria ricerca su Google e dopo aver consultato i professionisti PCI DDS, la risposta migliore che posso darti è:

Se l'entità è conforme e ancora una violazione di uno dei requisiti viene scoperta da un cliente o un altro agente esterno, lui / lei dovrebbe essere in grado di segnalare il problema al supporto o al contatto dell'azienda in quanto non vi è alcuna diretta o formale riferimento o procedura richiesta da PCI.

In altre parole: "Go fish"

a) PCI-DSS è uno standard, non una certificazione. È richiesto dalle banche che forniscono servizi di pagamento con carta, e sono loro che decidono se un commerciante soddisfa lo standard per la loro soddisfazione.

b) Come fai a sapere che non sono conformi con PCI-DSS? Puoi avere una sicurezza molto scarsa in tutti i settori della tua attività e rispettare lo standard, ma è strettamente focalizzato solo sulle carte di credito.

c) Poiché PCI-DSS si riferisce a un contratto privato tra una banca e il suo cliente, qual è la loro conformità o non conformità a PCI-DSS della tua azienda?

Gli unici 2 modi in cui so che la conformità viene applicata sono quelli di una verifica pagata da terze parti o dopo che il sistema si è bloccato, quindi è troppo tardi.

Riferirò questo ai tuoi alti dirigenti o ai responsabili della conformità e non faranno nulla per risolvere il problema, avrai almeno la traccia cartacea che hai segnalato nel caso in cui l'azienda venga compromessa o verificata (terza parte o nutrita) .

Il miglior consiglio che posso dare è di BCC un account di posta elettronica esterno con una password diversa (sul tuo account esterno) quando invii queste e-mail. Ricorda loro che un errore come questo può costare loro l'azienda ed è altrettanto importante quanto una buona soluzione di backup TESTED.