Abbiamo scoperto un'email inviata da un dipendente all'altro "prestando" al secondo dipendente l'uso della PCARD. L'e-mail conteneva il loro PAN e la data di scadenza. Non vi è alcuna domanda di pagamento associata a questo, solo un dipendente consente ad un altro di utilizzare la propria P-Card per acquistare qualcosa. Questa è una violazione della nostra politica aziendale, ma ci pone a rischio di non conformità PCI?
Dalla tua domanda sembra che il dipendente abbia mandato via e-mail i propri dati della carta a qualcuno? Questo non dovrebbe essere un problema PCI, perché la società non ha gestito in modo errato i dati delle carte controllate dalla società. Direi che a loro dovrebbe essere dato un severo colloquio perché potrebbe mostrare scarsa capacità di giudizio, e forse avere una registrazione di quel discorso, ma non penso che sarà un problema per voi.
Potrebbero esserci problemi, cosa ha fatto il ricevitore dell'email con i dati della carta? Potrebbe esserci qualcuno che potrebbe fare un caso che diventi quindi dati controllati dall'azienda. Quella carta era MAI utilizzata per fare una transazione legittima con la società come cliente?
Allo stesso modo, se una persona sceglie di inviare tutti i propri dati sanitari a qualcuno, non sarebbe nemmeno una violazione dell'hipaa, perché quella legge limita in modo simile i dati gestiti dall'organizzazione, non dalla persona che ha i dati che è .
Leggi altre domande sui tag pci-dss