Conformità PCI e ammende

Le società di carte hanno contratti in essere con i processori per costringerli ad essere entrambi conformi PCI e costringerli a rendere i loro commercianti conformi. Ti garantisco che qualsiasi banca o trasformatore con cui stipuli un contratto stipulerà un accordo con PCI. Al livello di verifica c'è una parte.

Se si verifica una violazione, le società di carte possono rivolgersi alle banche e le banche interne potrebbero seguirti se ritengono di aver violato il contratto. Le società di carte hanno anche il diritto di citarvi in giudizio per mancanza di sicurezza o gestione impropria o altri pareri legali.

Questo, come detto, non copre il costo delle indagini, ecc.

Credo che l'ultima media sia stata di $ 225 / record. Il rapporto di indagine sulla violazione dei dati di Verizon di solito ha alcune buone cifre.

Altri rispondenti hanno fatto molti buoni commenti sulle conseguenze di una violazione dei dati. Permettetemi di fare un paio di spiegazioni sul motivo per cui è stato modestamente meglio essere in conformità PCI e avere una violazione che non essere conformi e averne uno.

1. Se non sei conforme e sei stato denunciato, sarai in una brutta posizione. Se non sei conforme e il modo in cui eri fuori compliance può essere legato come una causa alla violazione, sei nei guai brutti, cattivi, brutti. In ogni caso, non sei all'altezza di ciò che la comunità dei commercianti ha ritenuto il livello minimo standard di protezione per i dati delle carte. D'altra parte, se hai un audit PCI che dice che sei compatibile prima della violazione e che sembra che l'audit sia stato condotto in modo indipendente e condotto a fondo ... beh, sei ancora in luogo vulnerabile, in termini di contenzioso, ma almeno puoi sostenere che hai fatto ciò che potresti ragionevolmente.

2. Ti garantisco che i marchi di pagamento ti saranno più semplici in termini di recupero delle carte di credito e di debito se riesci a dimostrare che hai fatto legittimamente un controllo di conformità. (Dopo puoi dimostrare che hai assicurato la tua rete / i dopo la scoperta della violazione, ovviamente.) D'altra parte, se non avessi chiaramente aderito prima della violazione, affronterai una serie sgradevole di possibili conseguenze, passando dal ritiro della tua capacità di prendere credito e amp; carte di debito, se sei una piccola impresa, con maggiori conseguenze finanziarie e futuri controlli di conformità della sicurezza da parte delle major (Visa e MasterCard) di quanto otterresti se ti fossi comportato come pre-violazione se sei un grande rivenditore. (È giusto che una piccola impresa possa benissimo avere la sua capacità di revocare i pagamenti ma grandi ragazzi come Target, Kmart, Home Depot, ecc. Che erano tutti orribilmente negligenti per sicurezza ed esposti quasi 100 milioni di numeri di carta tra loro mai affrontati possibilità? Forse no, ma è così.)

Per quanto riguarda la questione dei clienti smarriti, nonostante le risposte precedenti e cosa ha senso pensare di avere una posizione diversa su questo. A meno che un consumatore non subisca un furto di identità o una perdita di denaro, una violazione non crea un incentivo per i clienti a lasciare un rivenditore in modo permanente.

Lo appoggio con un sondaggio condotto il 26 gennaio 2016 leggi il seguente link link

Non ci sono conseguenze reali dal lato PCI DSS stesso, ad eccezione della possibile perdita di certificazione. Ma dovresti prepararti per:

• cause

• account cancellati e clienti persi

• reclami assicurativi (non relativi strettamente a PCI DSS, ma per una vera compensazione pagata alle vittime di perdite)

• ammende per emittenti delle carte di pagamento

• ammende da multe governative, che potrebbero includere anche la perdita della licenza necessaria per lavorare in alcuni paesi

Tutto ciò che Tomasz ha elencato, più alcuni altri:

• Costi significativi per la tua organizzazione (diversi dalle multe) come i costi delle verifiche o indagini forensi, i costi associati alla notifica dei clienti / clienti colpiti della violazione, ecc.
• Tutti i marchi di carte di pagamento potrebbero impedire alla tua organizzazione di accettare le proprie carte.
• Danni di lunga durata alla reputazione della tua organizzazione.

Tutti questi risultati potrebbero accadere indipendentemente dal fatto che un'organizzazione abbia o meno convalidato la conformità in passato. Come accennato a gowenfawr, la posizione del Consiglio PCI è che non si può essere in conformità se si è stati violato.

Detto questo, sono sicuro che la situazione sarebbe ancora peggiore per un'organizzazione che non ha mai convalidato la conformità.