Descubrimos un correo electrónico enviado de un empleado a otro "prestándole" al segundo empleado el uso de su PCARD. Correo electrónico contenía su PAN y fecha de caducidad. No hay una aplicación de pago asociada con esto, solo un empleado permite que otro use su P-Card para comprar algo. Esto es una violación de la política de nuestra compañía, pero ¿esto nos coloca en riesgo de incumplimiento de PCI?
Por su pregunta, ¿parece que el empleado estaba enviando los datos de su propia tarjeta a alguien? Eso no debería ser un problema de PCI, porque la compañía no maltrató los datos de la tarjeta controlados por la compañía. Yo diría que se les debe dar una charla severa porque puede mostrar un mal juicio y tal vez tener un registro de esa conversación, pero no creo que sea un problema para ti.
Es posible que se hayan enturbiado, ¿qué hizo el receptor del correo electrónico con los datos de la tarjeta? Puede haber alguien que pueda argumentar que se convierte en información controlada por la empresa. ¿Alguna vez se utilizó esa tarjeta para realizar una transacción legítima con la empresa como cliente?
De manera similar, si una persona decide enviar todos sus datos de salud a alguien, eso tampoco sería una infracción hipaa, porque esa ley restringe de manera similar los datos que maneja la organización, no la persona que los datos son .
Lea otras preguntas en las etiquetas pci-dss