Empresas que manejan tarjetas de crédito por correo electrónico

Navega tus respuestas
2

He hecho algunos I.T. Contratación de un hotel australiano de tamaño mediano recientemente. Me preocupan sus prácticas de manejo de tarjetas de crédito.

  • Los clientes a menudo envían un correo electrónico a la compañía con su número de CC y fecha de caducidad en texto simple.
  • Los clientes también envían detalles de CC a través de un formulario web a través de HTTP no seguro desde el sitio web de la empresa. Una declaración ambigua en el formulario de contacto podría interpretarse como una solicitud de los detalles de CC.
  • Los detalles de CC se almacenan en dos servidores de correo, administrados por el ISP de la compañía.
  • Todos los correos electrónicos que contienen detalles de CC también se almacenan en dos máquinas Windows 7 actualizadas en las instalaciones, a través del Modo de intercambio en caché de Outlook 2007. Así que incluso cuando las computadoras se formatean o se reemplazan, los números CC volverán a aparecer en las computadoras. Los correos electrónicos nunca se eliminan.
  • Los depósitos y todos los cargos subsiguientes los realiza un operador humano desde una máquina EFTPOS en las instalaciones.
  • Hay una sala de Internet en las instalaciones y comparte una conexión a Internet con las computadoras que almacenan los detalles de CC en Outlook. Las computadoras del personal pueden estar en una subred diferente a la sala de espera (no se han verificado aún).
  • No he buscado en el archivo de correo electrónico. Sin embargo, me parece plausible que algunos clientes hayan suministrado CVV por correo electrónico.

Encontré todo esto molesto, pero no sabía exactamente cómo hacer mi punto a la gestión. Así que he estado haciendo algunas investigaciones.

  • El correo electrónico no es un canal seguro para los detalles de CC [P] .
  • La mera aceptación de los detalles de CC por correo electrónico coloca a la empresa bajo los requisitos de PCI-DSS [Q] y los cumple El requisito puede ser una tarea sustancial [R] .
  • Aceptar y almacenar correos electrónicos de texto sin formato que contengan números de CC infringe el [S] de PCI-DSS.
  • La práctica anterior es arriesgada, pero es común entre los hoteles y, probablemente, muchas empresas de baja tecnología [T] .
  • Las consecuencias pueden ser graves [K] pero la aplicación probablemente no ocurra a menos que el negocio sea penetrado y su la información se utiliza para el fraude de CC [O] .

Agradecería cualquier ayuda para verificar mis inferencias en busca de errores . Tampoco estoy seguro de dos cosas.

  1. ¿Quién hace cumplir el PCI-DSS, en particular las multas mencionadas en [K] ? P.ej. ¿Bancos o agencias gubernamentales se involucran?
  2. ¿Esto varía mucho a nivel internacional? ¿Es posible que alguna información en las publicaciones anteriores no se aplique a Australia?

También estoy tratando de pensar en una solución que no coincida demasiado con el flujo de trabajo actual (es decir, que no cueste una fortuna). Sin embargo, arreglar esto parece ser una gran tarea en cualquier forma en que lo veo. Cualquier perspectiva sobre cómo mejorar esta situación sería muy apreciada.

    
pregunta Community 18.02.2015 - 02:25
fuente

3 respuestas

5

  1. PCI-DSS no se aplica por ningún gobierno; El cumplimiento es un requisito para manejar las transacciones con tarjeta de crédito de cualquier manera. Las multas y la exclusión del procesamiento son dos medidas de cumplimiento que se pueden tomar. No estoy seguro exactamente de quién puede hacer qué, pero las marcas de tarjetas, los bancos adquirentes y los procesadores son las entidades involucradas en la determinación de hacerlo o en el aprovechamiento de la ley. (Por ejemplo, creo que las marcas de tarjetas imponen multas, pero los bancos adquirentes son responsables de cobrarlas o de compensar el déficit. Del mismo modo, los procesadores tienen la tarea de cobrar por parte de los adquirentes o de cubrir el déficit. Es un sistema que fomenta cada nivel vigile a los que están más abajo y las marcas de tarjetas no se queden con billetes.)

  2. No, esto no debería variar mucho a nivel internacional. Todos los detalles que menciona, que son esencialmente la transmisión y el almacenamiento públicos sin cifrar de los Números de cuenta primarios y los Datos confidenciales de autenticación, son violaciones de los principios básicos del DSS y no están sujetos a localización.

En cuanto a mejorarlo, puede trabajar con el comerciante o puede hacer sonar el silbato (públicamente o en privado a su procesador / adquirente). A menos que sean inusualmente receptivos, ninguna de estas opciones funciona bien para usted, un contratista en una relación comercial con ellos que casi seguramente ha firmado contratos legales con ellos.

Apesta, pero a medida que enlazado anteriormente ... "la estructura PCI DSS está diseñada para fomentar la seguridad y castigar a las partes responsables, no para hacer cumplir la seguridad".

    
respondido por el gowenfawr 18.02.2015 - 02:38
fuente
0

Al menos en Australia (sí, sé que son las 4 de la mañana en este momento) Supongo que el proveedor de la cuenta del comerciante es cba, anz o Westpac (tengo experiencia en el trato con estas compañías) y asumo que estos datos de la tarjeta de crédito se ingresan manualmente en un terminal EFT.

El contrato con esos bancos al menos es muy claro que este tipo de proceso es un no-no masivo y puede llevar a que se revoque la cuenta del comerciante. Todo lo que se necesita es un empleado pícaro.

Proporcionan pasarelas de pago en línea "seguras" pero cobran una tarifa más alta para cubrir el riesgo de un aumento del fraude. (debido a que no tiene una persona real frente a usted con una tarjeta física en la mano) la opción de "entrada manual" solo está ahí en caso de que una tarjeta tenga una banda magnética dañada. (y restos de reliquias de días pre electrónicos)

Final del día, si no se oye su voz sobre este problema, simplemente puede avisar al banco y ellos se ocuparán de ello

    
respondido por el Damian Nikodem 18.02.2015 - 17:53
fuente
0
  

No sabía exactamente cómo hacer que mi punto a la gestión

Sé que esto suena como una falta de respuesta, pero:

  • Se ha dicho que la Administración (la empresa) comprende dos cosas: el dinero y el riesgo.
  • Hay un costo de cumplir con PCI DSS (costos de cambio / implementación, más costos continuos)
  • Hay riesgos asociados con el incumplimiento (riesgo de multas, costo de investigación en caso de incumplimiento, pérdida de reputación en caso de incumplimiento, etc.). El cumplimiento debe ser tratado como cualquier otro riesgo.
  • Depende de la empresa aceptar el saldo de costo / riesgo
  • Puede haber formas en las que se pueda cambiar el proceso de negocios para evitar cualquier necesidad de transmitir / almacenar datos de titulares de tarjetas, eliminando así cualquier problema de cumplimiento de PCI. (Por ejemplo, hacer que el personal llame a los clientes para obtener los detalles de su tarjeta y los ponga en EFTPOS en ese momento, siempre y cuando la llamada no esté grabada)

Si hace que la empresa esté al tanto de sus opciones razonables, con el costo / riesgo de cada una, entonces siempre que estén bien informados, es su decisión lo que quieren hacer.

    
respondido por el hmallett 20.02.2015 - 14:38
fuente

Lea otras preguntas en las etiquetas

Exploración de puertos detectada y bloqueada! - Bitdefender 2014 Configuración segura del túnel en un entorno de oficina