A quali entità i commercianti devono segnalare una violazione della carta di credito?

Come per DSS , il commerciante è tenuto a notificare i marchi della carta:

12.10.1.a Verify that the incident response plan includes:

• Roles, responsibilities, and communication strategies in the event of a compromise including notification of the payment brands, at a minimum

E il DSS riconosce che altri requisiti di notifica possono essere impellenti (ad esempio, ciascun commerciante è soggetto alle leggi di notifica applicabili alla propria giurisdizione):

• Analysis of legal requirements for reporting compromises (for example, California Bill 1386, which requires notification of affected consumers in the event of an actual or suspected compromise for any business with California residents in their database)

Inutile dire che la questione della giurisdizione è un problema, data la natura virale delle leggi dello stato più progressista, e la base di clienti diffusa di molti operatori web (anche internazionali, come suggerisce il tuo link).

Quindi: il commerciante deve notificare i marchi delle carte, che in pratica significa che notificheranno il loro acquirente / processore e procederà a catena da lì. Per quanto riguarda le persone? DSS riconosce che potrebbe essere necessario, ma non lo costringe. Se sia logico che un commerciante notifichi le persone è una questione che le loro relazioni pubbliche e i team legali di solito affrontano insieme.

Direi che dipende. 12.10.1.a afferma che dovrebbe esserci un piano di risposta agli incidenti e che dovrebbe contenere almeno le strategie di comunicazione in caso di compromissione. Non dicono che è necessario "almeno per dire ai marchi di pagamento", dicono che è necessario il minimo per "dire a qualcuno", non si può semplicemente avere un piano di risposta agli incidenti che consiste essenzialmente di "riordinare" e "assicurare il compromesso" senza notifica a nessuno.

Se decidi di comunicare con l'indivual o con l'aquirer, dipende dalla scala del compromesso. Diciamo che un impiegato in contanti inaffidabile fotografa una singola carta nel POS con una telecamera mentre la gestisce per un cliente e questo passa inosservato dal cliente. Diciamo che questo è sfidato all'attenzione.

Quindi è molto più semplice, basta avvisare telefonicamente l'utente interessato, chiedergli di sospendere la sua carta e ordinare una nuova carta dal suo emittente, piuttosto che notificare a VISA / MasterCard / aquirer quel piccolo compromesso. Può essere un buon affare informare l'aquirer e dire che il cliente è stato comunque informato. Questo ti manterrà fuori dal giro nel caso in cui il cliente giochi stupido e dice che non ha ricevuto alcuna notifica e decide di non sospendere la carta compromessa.

Se, tuttavia, una banca dati CC o qualsiasi cosa trapelasse fuori, o un sito Web viene violato e sostituito con un sito di phishing, è fondamentalmente necessario informare l'aquirer, dal momento che centinaia, migliaia di clienti o milioni di clienti potrebbero essere interessati.

L'intenzione del 12.10.1.a è che tutti gli indivual interessati debbano ottenere informazioni su ciò che è accaduto. Se decidi di informare da solo tutti i tuoi clienti, o se passi attraverso il tuo aquirer, dipende da te. Nella maggior parte dei casi, è più facile informare il tuo aquirer.