El cliente no está almacenando las tarjetas de crédito de forma segura (casi sin formato). ¿Cómo convenzo al cliente para que sea más seguro?

Usted les dice lo que sabe y luego les permite que tomen la decisión que desean tomar. A menos que haya sido contratado para hacer su auditoría de PCI, probablemente esta no sea su lucha. Prepare un informe que explique las amenazas relevantes y los posibles problemas para que tanto usted como ellos lo tengan por escrito y luego haya terminado. Específicamente, es posible que desee hacerles saber contra qué tipo de ataques están defendiendo adecuadamente y contra qué tipo de ataques no están defendiendo adecuadamente, así como contra las ramificaciones.

Sin embargo, al final, su rol es como consultor, no como un tipo de capacidad de cumplimiento. Si presiona más allá de solo darles consejos, se pone a sí mismo en un riesgo significativo con una recompensa realmente nula.

Recomendaría notificarles los requisitos de PCI-DSS para almacenar la información de la tarjeta de crédito de los emisores principales de tarjetas de crédito, especialmente las multas y el potencial de la demanda que enfrentan por baja seguridad, especialmente si se trata de una empresa con sede en los Estados Unidos o el Reino Unido.

También para mantenerse de acuerdo con las leyes estatales de protección al consumidor, es probable que tengan que cumplir con los requisitos para notificar:

• Todos los residentes que hubo una violación de seguridad.
• Envíe un correo electrónico a todos los usuarios sobre la violación y publique un mensaje en el sitio si la base de usuarios es extremadamente largo.
• Notificación al departamento de consumidores de su estado Protección, Fiscal General y Oficina de Seguridad Cibernética & Coordinación de Infraestructura Crítica.
• También puede haber otros requisitos de la FTC según la situación.

Empuja hacia atrás sobre ellos. Muéstrales lo fácil que es recuperar los números de las tarjetas de crédito de la base de datos sin la clave. Recuérdeles que el dinero de sus propios clientes está en riesgo aquí, y si obtienen una mala reputación por el almacenamiento laxa de datos confidenciales, es probable que no tengan negocios antes de que puedan reparar el daño a su imagen.

No conozco los detalles específicos de su contrato con sus clientes, pero si su pago no está directamente relacionado con el cumplimiento de PCI, entonces señalaría la debilidad a quien esté realizando la inspección de cumplimiento. Simplemente no puede, con buena conciencia, tratar de ignorarlo y obtener la certificación de la empresa como compatible cuando sepa que hay un agujero de seguridad evidente.

Como su asesor externo, es casi seguro que estará sujeto a un NDA y, por lo tanto, no podrá informar legalmente a terceros de esta debilidad. Pero, ese sería el siguiente paso en casi cualquier otro caso; anónimamente publique información sobre la debilidad en las revistas en línea de "día cero" conocidas. Si todos saben que hay un problema, y la compañía sabe que todos saben, estarán motivados para solucionarlo antes de que alguien pueda explotarlo.

Por lo general, hay un período de "enfriamiento"; si usted fuera un "sombrero blanco" que no tenía ninguna relación con la empresa y encontró este problema, podría decirles que si no lo solucionan en 30 días, lo publicará en los diarios de día cero. Pero, si les da un aviso anónimo, sería muy fácil reunir uno y otro y perseguirlo por la violación de la NDA.