Il cliente non memorizza le carte di credito in modo sicuro (vicino al testo normale). Come posso convincere il cliente ad essere più sicuro?

Dì loro quello che sai, e poi lasci che facciano la decisione che vogliono prendere. A meno che tu non sia stato ingaggiato per fare il controllo PCI, probabilmente non è la tua battaglia. Metti insieme un rapporto che spiega le minacce relavant e i potenziali problemi in modo che sia tu che loro lo abbiano scritto, e poi hai finito. Nello specifico, puoi far sapere loro che tipo di attacchi stanno difendendo adeguatamente, e che tipo di attacchi non difendono adeguatamente e quali potrebbero essere le ramificazioni.

Alla fine, però, il tuo ruolo è quello di consulente, non di qualsiasi tipo di capacità esecutiva. Se spingi oltre a dare loro consigli, ti metti a rischio significativo con una ricompensa veramente nulla.

Vorrei raccomandare loro di notificare i requisiti PCI-DSS per l'archiviazione dei dati delle carte di credito dagli emittenti delle carte di credito principali, in particolare le multe e il potenziale legale che devono affrontare per problemi di sicurezza soprattutto se si tratta di un'attività negli Stati Uniti o nel Regno Unito.

Inoltre, per rimanere in conformità con le loro leggi statali sulla tutela dei consumatori, dovranno probabilmente seguire i requisiti per notificare:

• Tutti i residenti che c'è stata una violazione della sicurezza.
• Invia un'email a tutti gli utenti della violazione e pubblica un messaggio sul sito se la base utente è estremamente largo.
• Notifica al dipartimento dei consumatori del loro stato Protezione, procuratore generale e ufficio di sicurezza informatica & Coordinamento delle infrastrutture critiche.
• Potrebbero esserci altri requisiti da parte della FTC a seconda della situazione.

Spingili indietro. Mostra loro quanto è facile recuperare i numeri delle carte di credito dal database senza la chiave. Ricorda loro che il denaro dei loro clienti è a rischio qui, e se ottengono una cattiva reputazione per la scarsa conservazione dei dati sensibili, potrebbero non essere più operativi prima che possano riparare il danno alla loro immagine.

Non conosco le specifiche del tuo contratto con i tuoi clienti, ma se la tua retribuzione non è direttamente legata alla loro conformità PCI, vorrei sottolineare la debolezza di chiunque stia facendo il controllo di conformità. Semplicemente non puoi, in coscienza, cercare di ignorarlo e ottenere la certificazione come conforme quando sai che c'è un buco di sicurezza abbagliante.

Come consulente esterno, quasi sicuramente sarai vincolato da una NDA, e quindi non sarai legalmente in grado di informare terzi di questa debolezza. Ma questo sarebbe il prossimo passo in quasi tutti gli altri casi; pubblicare in modo anonimo le informazioni relative alla debolezza delle note riviste online "zero-day". Se tutti sanno che c'è un problema e la compagnia sa che tutti sanno, saranno motivati a risolverlo prima che qualcuno possa sfruttarlo.

Di solito, c'è un periodo di "raffreddamento"; se tu fossi un "cappello bianco" completamente estraneo alla compagnia, e hai trovato questo problema, potresti dire loro che se non lo risolvono entro 30 giorni lo pubblicherete sui giornali a zero giorni. Ma, se tu avessi dato loro un avviso anonimo, sarebbe stato troppo facile metterne uno e uno e inseguirti per la violazione della NDA.