Ho fatto un po 'di I.T. recentemente contratta per un hotel australiano di medie dimensioni. Sono preoccupato per le loro pratiche di gestione delle carte di credito.
- Spesso i clienti inviano email al proprio numero CC e alla data di scadenza in chiaro alla società.
- I clienti inviano anche i dettagli CC tramite un modulo Web su HTTP non protetto dal sito Web aziendale. Una dichiarazione ambigua sul modulo di contatto potrebbe essere interpretata come sollecitazione dei dettagli CC.
- I dettagli CC sono archiviati su due server di posta gestiti dall'ISP dell'azienda.
- Tutte le e-mail contenenti i dettagli CC sono anche memorizzate su due macchine Windows 7 aggiornate in locale, tramite la Modalità cache di Outlook 2007 di Outlook 2007. Quindi anche quando i computer sono formattati o sostituiti, i numeri CC torneranno sui computer. Le email non vengono mai cancellate.
- I depositi e tutti gli addebiti successivi vengono effettuati da un operatore umano da un dispositivo EFTPOS nei locali.
- C'è una sala internet nei locali e condivide una connessione Internet con i computer che memorizzano i dettagli CC in Outlook. I computer dello staff potrebbero trovarsi su una sottorete diversa dalla lounge (non sono stati ancora controllati).
- Non ho cercato l'archivio email. Tuttavia, mi sembra plausibile che alcuni clienti abbiano fornito CVV tramite e-mail.
Ho trovato tutto questo inquietante, ma non sapevo esattamente come esprimere il mio punto di vista sulla gestione. Quindi ho fatto qualche ricerca.
- L'email non è un canale sicuro per i dettagli CC [P] .
- La semplice accettazione dei dettagli CC tramite e-mail posiziona l'azienda in base ai requisiti PCI-DSS [Q] e incontrando quelli il requisito può essere un compito importante [R] .
- L'accettazione e la memorizzazione di e-mail in testo semplice contenenti numeri CC viola il PCI-DSS [S] .
- La pratica sopra è rischiosa, ma comune tra gli hotel e probabilmente molte aziende low-tech [T] .
- Le conseguenze possono essere gravi [K] ma l'applicazione probabilmente non si verificherà a meno che l'azienda non sia penetrata e la loro le informazioni vengono utilizzate per le frodi CC [O] .
Apprezzerei qualsiasi aiuto per controllare le mie inferenze per i bug . Sono ancora incerto su due cose.
- Chi applica il PCI-DSS, in particolare le multe indicate in [K] ? Per esempio. banche o agenzie governative coinvolte?
- Questo varia molto a livello internazionale? Potrebbe alcune informazioni nei post di cui sopra non si applicano in Australia?
Sto anche cercando di pensare a una soluzione che non colliderà troppo con il flusso di lavoro corrente (cioè che non costerebbe una fortuna). Tuttavia, risolvere questo problema sembra un compito importante in qualsiasi modo io lo guardi. Qualsiasi prospettiva su come migliorare questa situazione sarebbe molto apprezzata.