Cumplimiento de PCI y multas

Navega tus respuestas
2

Nuestra organización ha validado el cumplimiento con PCI DSS.
¿Cuáles son las consecuencias para nosotros si hubiéramos sido violados por un incidente de seguridad relacionado con la información de la tarjeta de crédito, considerando que hemos validado el cumplimiento de PCI DSS? ¿Alguna multa se aplicaría a nosotros?

    
pregunta Ree 06.07.2015 - 15:15
fuente

5 respuestas

1

Las compañías de tarjetas tienen contratos vigentes con procesadores para obligarlos a que cumplan con las normas de PCI y para obligarlos a que cumplan con sus comerciantes. Le garantizo que cualquier banco o procesador que contrate como comerciante estipulará el cumplimiento de PCI. Hasta el grado de verificación está en parte.

Si se produce una infracción, las compañías de tarjetas pueden perseguir a los bancos y, en el caso de las entidades bancarias, los bancos podrían perseguirlo si consideran que ha incumplido su acuerdo. Las compañías de tarjetas también tienen el derecho de demandarlo por falta de seguridad o gestión inadecuada, o algún otro tipo de discurso legal.

Como también se mencionó, esto no cubre el costo de las investigaciones, etc.

Creo que el último promedio fue de $ 225 / récord. El informe de investigación de violación de datos de Verizon por lo general tiene algunas buenas cifras.

    
respondido por el Shane Andrie 06.08.2015 - 00:34
fuente
1

Otros respondedores han hecho muchos puntos positivos sobre las consecuencias de una violación de datos. Permítanme hacer un par de razones por las que es modestamente mejor estar en conformidad con PCI y tener una violación que estar fuera de cumplimiento y tener una.

  1. Si está fuera de cumplimiento y está siendo demandado, será una mala posición. Si está fuera de cumplimiento y la forma en que estaba fuera de cumplimiento puede ser atada como una causa a la violación, está en un mal, mal, mal problema. De cualquier manera, no ha cumplido con lo que la comunidad de comerciantes ha considerado el estándar mínimo habitual de protección para los datos de la tarjeta. Por otro lado, si tiene una auditoría de PCI que dice que era compatible antes de la violación y de que la auditoría parece haberse realizado de manera independiente y exhaustiva ... bueno, todavía está en una lugar vulnerable, en cuanto a litigios, pero al menos puede argumentar que hizo lo que razonablemente podría hacer.

  2. Le garantizo que las marcas de pago serán más fáciles para usted en términos de dejar de tomar tarjetas de crédito y débito nuevamente si puede demostrar que realizó una auditoría legítima de manera legítima. (Después de que pueda demostrar que ha asegurado su (s) red (es) después del descubrimiento de la violación, por supuesto.) Por otro lado, si claramente no cumplió con la norma antes de la violación, se enfrentará a un rango desagradable de posibles consecuencias. de su capacidad de tomar crédito y amp; tarjetas de débito si usted es una pequeña empresa con más consecuencias financieras y un futuro control de cumplimiento de seguridad por parte de las principales (Visa y MasterCard) que lo que obtendría si hubiera cumplido con los requisitos de incumplimiento de la ley si es un gran minorista. (¿Es justo que una pequeña empresa pueda tener su capacidad de recibir pagos revocados, pero los grandes como Target, Kmart, Home Depot, etc., todos ellos eran terriblemente negligentes con respecto a la seguridad y expusieron casi 100 millones de números de tarjetas entre ellos? ¿posibilidad? Tal vez no, pero así es.)

respondido por el mostlyinformed 25.09.2015 - 23:03
fuente
1

Con respecto a la pérdida de clientes, a pesar de las respuestas anteriores y lo que tiene sentido pensar que tengo una postura diferente en este caso. A menos que un consumidor sufra un robo de identidad o una pérdida de dinero, una infracción no crea un incentivo para que los clientes abandonen un minorista permanentemente.

Lo respaldo con una encuesta realizada el 26 de enero de 2016 lea más en el siguiente enlace enlace

    
respondido por el BokerTov 29.02.2016 - 07:12
fuente
0

No hay consecuencias reales por parte de PCI DSS, excepto la posibilidad de perder la certificación. Pero debes prepararte para:

  • lawsuits

  • cuentas canceladas y clientes perdidos

  • reclamaciones de seguros (no relacionadas estrictamente con PCI DSS, sino por una compensación real pagada a las víctimas de fugas)

  • multas del emisor de la tarjeta de pago

  • multas gubernamentales, que posiblemente también incluyan la pérdida de la licencia requerida para trabajar en algún país

respondido por el Tomasz Klim 06.07.2015 - 15:26
fuente
0

Todo lo que Tomasz enumeró, más algunos más:

  • Costos significativos para su organización (que no sean multas) como los costos de auditorías o investigaciones forenses, costos asociados con la notificación a los clientes / clientes afectados del incumplimiento, etc.
  • Cualquiera o todas las marcas de tarjetas de pago podrían impedir que su organización acepte sus tarjetas.
  • Daño duradero a la reputación de su organización.

Todos estos resultados podrían ocurrir independientemente de que una organización haya validado el cumplimiento en el pasado. Como mencionó Gowenfawr, la posición del Consejo de PCI es que no se pudo haber cumplido si se violaba.

Dicho esto, estoy seguro de que la situación sería aún peor para una organización que nunca ha validado el cumplimiento.

    
respondido por el Becca D 05.08.2015 - 23:11
fuente

Lea otras preguntas en las etiquetas

Sitios de spam de sitios web en Google Analytics Límites de seguridad de la autenticación del cliente TLS (desde los navegadores)