Se una società deve essere conforme PCI, ci sono multe applicate se non eseguono test di penetrazione o vulnerabilità? Se sì, è una multa automatica, o è solo se vengono presi?
Se non fornisci la documentazione della tua conformità (un SAQ o il tuo AoC e il RoC) al tuo processore / acquirente, smettono di processare le transazioni per te, che è un po 'come una multa in cui inizi a perdere denaro e clienti .
Per citare la panoramica del Questionario di autovalutazione PCI DSS (SAQ) ,
you may be required to share [your SAQ] with your acquiring bank. Please consult your acquirer for details regarding your particular PCI DSS validation requirements.
I requisiti DSS 11.3.1 e 11.3.2 richiedono pentest e in base a questo articolo che influisce su chiunque abbia SAQ A-EP, C, D-MER e D-SP.
Se sei in una posizione in cui puoi autovaluterti, puoi mentire e rispondere che tutti i requisiti sono pienamente a posto. In genere, l'acquirente richiederà una copia del questionario SAQ e l'attestazione di conformità firmata. È improbabile che vengano richieste ulteriori prove. Un'autovalutazione è proprio questo; una revisione interna dei propri processi e conformità ai requisiti applicabili all'interno della norma senza la necessità di fornire prove basate su audit a terzi.
L'autovalutazione e l'affermazione che i requisiti sono in vigore quando non lo sono non forniranno alcuna sicurezza a te stesso o ai tuoi clienti e ti renderanno più vulnerabile a una violazione. Se sei esaminato da una terza parte in qualsiasi momento, la tua mancanza di conformità sarà piuttosto evidente. Prima o poi, la mancanza di sicurezza costerà all'azienda più che creare e gestire un ambiente sicuro.
Sì, in determinate situazioni.
Q: Do I need vulnerability scanning to validate compliance?
A: If you qualify for certain Self-Assessment Questionnaires (SAQs) or you electronically store cardholder data post authorization, then a quarterly scan by a PCI SSC Approved Scanning Vendor (ASV) is required to maintain compliance.
Questo stabilisce le circostanze in cui è richiesta la scansione delle vulnerabilità per la conformità.
Q: What are the penalties for noncompliance?
A: The payment brands may, at their discretion, fine an acquiring bank $5,000 to $100,000 per month for PCI compliance violations. The banks will most likely pass this fine on downstream till it eventually hits the merchant.
Questo mostra le sanzioni per non conformità. È una multa obbligatoria? Forse sì forse no. Ma esiste.
Leggi altre domande sui tag penetration-test pci-dss compliance