Aziende che gestiscono carte di credito via e-mail

2

Ho fatto un po 'di I.T. recentemente contratta per un hotel australiano di medie dimensioni. Sono preoccupato per le loro pratiche di gestione delle carte di credito.

  • Spesso i clienti inviano email al proprio numero CC e alla data di scadenza in chiaro alla società.
  • I clienti inviano anche i dettagli CC tramite un modulo Web su HTTP non protetto dal sito Web aziendale. Una dichiarazione ambigua sul modulo di contatto potrebbe essere interpretata come sollecitazione dei dettagli CC.
  • I dettagli CC sono archiviati su due server di posta gestiti dall'ISP dell'azienda.
  • Tutte le e-mail contenenti i dettagli CC sono anche memorizzate su due macchine Windows 7 aggiornate in locale, tramite la Modalità cache di Outlook 2007 di Outlook 2007. Quindi anche quando i computer sono formattati o sostituiti, i numeri CC torneranno sui computer. Le email non vengono mai cancellate.
  • I depositi e tutti gli addebiti successivi vengono effettuati da un operatore umano da un dispositivo EFTPOS nei locali.
  • C'è una sala internet nei locali e condivide una connessione Internet con i computer che memorizzano i dettagli CC in Outlook. I computer dello staff potrebbero trovarsi su una sottorete diversa dalla lounge (non sono stati ancora controllati).
  • Non ho cercato l'archivio email. Tuttavia, mi sembra plausibile che alcuni clienti abbiano fornito CVV tramite e-mail.

Ho trovato tutto questo inquietante, ma non sapevo esattamente come esprimere il mio punto di vista sulla gestione. Quindi ho fatto qualche ricerca.

  • L'email non è un canale sicuro per i dettagli CC [P] .
  • La semplice accettazione dei dettagli CC tramite e-mail posiziona l'azienda in base ai requisiti PCI-DSS [Q] e incontrando quelli il requisito può essere un compito importante [R] .
  • L'accettazione e la memorizzazione di e-mail in testo semplice contenenti numeri CC viola il PCI-DSS [S] .
  • La pratica sopra è rischiosa, ma comune tra gli hotel e probabilmente molte aziende low-tech [T] .
  • Le conseguenze possono essere gravi [K] ma l'applicazione probabilmente non si verificherà a meno che l'azienda non sia penetrata e la loro le informazioni vengono utilizzate per le frodi CC [O] .

Apprezzerei qualsiasi aiuto per controllare le mie inferenze per i bug . Sono ancora incerto su due cose.

  1. Chi applica il PCI-DSS, in particolare le multe indicate in [K] ? Per esempio. banche o agenzie governative coinvolte?
  2. Questo varia molto a livello internazionale? Potrebbe alcune informazioni nei post di cui sopra non si applicano in Australia?

Sto anche cercando di pensare a una soluzione che non colliderà troppo con il flusso di lavoro corrente (cioè che non costerebbe una fortuna). Tuttavia, risolvere questo problema sembra un compito importante in qualsiasi modo io lo guardi. Qualsiasi prospettiva su come migliorare questa situazione sarebbe molto apprezzata.

    
posta Community 18.02.2015 - 02:25
fonte

3 risposte

5
  1. PCI-DSS non è applicato da nessun governo; la conformità è un requisito per la gestione delle transazioni con carta di credito in alcun modo. Le multe e l'esclusione dall'elaborazione sono due azioni di controllo che possono essere intraprese. Non sono sicuro di chi sia in grado di fare definitivamente ciò che, tranne i marchi delle carte, le banche acquirenti e i processori, sono le entità solitamente coinvolte nel determinare se farlo o nel far leva sull'applicazione. (Ad esempio, ritengo che le marche di carte impongano multe, ma le banche acquirenti sono responsabili della loro riscossione - o di colmare il deficit. Allo stesso modo, i processori hanno il compito di riscuotere gli acquirenti o di colmare il deficit. polizia quelli più in basso, e le marche di carte non vengono lasciate in mano con le bollette.)

  2. No, questo non dovrebbe variare molto a livello internazionale. Tutti i dettagli che menzioni, che sono essenzialmente la trasmissione pubblica non crittografata e la memorizzazione dei numeri di conto primario e dei dati di autenticazione sensibili, sono violazioni dei principi fondamentali del DSS e non sono soggetti a localizzazione.

Per quanto riguarda il miglioramento, puoi lavorare con il commerciante o puoi fischiare (pubblicamente o in privato con il loro processore / acquirente). A meno che non siano insolitamente ricettivi, nessuna di queste opzioni funziona bene per te, un imprenditore in una relazione commerciale con loro che ha quasi sicuramente firmato contratti legali con loro.

Fa schifo, ma come tu collegato a prima ... "la struttura PCI DSS è progettata per incoraggiare la sicurezza e punire le parti responsabili, non per rafforzare la sicurezza."

    
risposta data 18.02.2015 - 02:38
fonte
0

Almeno in Australia (sì, so che sono le 4 del mattino) Suppongo che il fornitore del conto commerciale sia cba, anz o Westpac (ho avuto esperienza nel trattare con queste compagnie) e presumo che i dati di questa carta di credito vengano inseriti manualmente in un terminale eftpos.

Il contratto con queste banche è molto chiaro che questo stile di processo è un no-no enorme e può portare alla revoca del conto commerciale. Tutto ciò che serve è un dipendente canaglia.

Forniscono gateway di pagamento online "sicuri" ma applicano una commissione più elevata per coprire il rischio di aumento delle frodi. (perché non hai una persona reale di fronte a te con una carta fisica in mano) l'opzione "inserimento manuale" è presente solo nel caso in cui una carta abbia una striscia magnetica danneggiata. (e un residuo della reliquia dai giorni pre-elettronici)

Fine della giornata se la tua voce non viene ascoltata su questo problema, allora puoi semplicemente far sapere alla banca che se ne occuperà

    
risposta data 18.02.2015 - 17:53
fonte
0

I didn't know exactly how to make my point to management

So che sembra una non risposta, ma:

  • È stato detto che la Direzione (l'azienda) comprende due cose: denaro e rischio.
  • C'è un costo di conformità con PCI DSS (costi di modifica / implementazione, più costi in corso)
  • Vi sono rischi associati alla non conformità (rischio di ammende, costo dell'indagine in caso di violazione, perdita di reputazione in caso di violazione e così via). La conformità dovrebbe essere trattata come qualsiasi altro rischio.
  • È compito dell'azienda accettare il rapporto costi / rischi
  • Potrebbero esserci dei modi in cui è possibile modificare il processo aziendale per impedire qualsiasi necessità di trasmettere / archiviare i dati dei titolari di carta, eliminando in tal modo eventuali problemi di conformità PCI. (Come ad esempio disporre di personale telefonico per i dettagli della propria carta e metterli in EFTPOS al momento, purché la chiamata non sia registrata)

Se rendi l'azienda consapevole delle loro opzioni ragionevoli, con il rapporto costo / rischio di ciascuno, allora fintanto che sono ben informati è la loro decisione che cosa vogliono fare.

    
risposta data 20.02.2015 - 14:38
fonte

Leggi altre domande sui tag