Denuncia de irregularidades, ética empresarial y datos de tarjetas de crédito

Navega tus respuestas
13

Estoy escribiendo este post porque me enfrento a un dillemma ético y personal y me gustaría recibir comentarios sobre la mejor manera de abordar esta situación, en particular desde un punto de vista filosófico.

Trabajo para una pequeña empresa. Estoy a tiempo parcial, haciendo cosas de tipo "gruñido" mientras pago la universidad. Trabajé en este campo en particular antes en una escala mucho más grande, por lo que es algo muy fácil para mí. Si bien ciertamente no soy perezoso, y hago mi trabajo, tampoco soy el "hombre de compañía súper leal" que he sido para otros trabajos de tiempo completo. Supongo que me siento más desapegado de este trabajo que en el pasado.

De todos modos, tenemos empleados que deben tomar pedidos de los clientes y usamos un sistema basado en papel. También recibimos estos pedidos por teléfono y ocasionalmente el cliente paga con una tarjeta de crédito. El número de la tarjeta de crédito y la fecha de vencimiento están escritos en la parte posterior del "boleto" impreso.

También sé a ciencia cierta que estos boletos se pasan de 3 a 6 personas, salen de las instalaciones y, al menos en una ocasión, se tiran a la basura. No triturado y tirado a la basura, solo tirado a la basura.

Conociendo los conceptos básicos muy rudimentarios de cumplimiento de PCI veo esto como una gran bomba legal y financiera que espera explotar .

No solo esto, sino también personalmente No creo que esto sea correcto. Los clientes nos confían esta información y cualquiera que esté dispuesto a hacer un viaje de buceo en un basurero en el vertedero local puede encontrar el tesoro de datos de tarjetas de crédito de un ladrón. Esto es altamente inquietante.

Obviamente, voy a hablar con mi empleador sobre esto. Pero, aquí es donde entran en juego los problemas éticos.

No creo que pueda persuadir al propietario de por qué deberían cambiar esta práctica o que el costo vale la pena. El propietario es bastante insensible en lo que se refiere a las cosas, en mi opinión, y simplemente rechazaría la posibilidad de que algo sucediera con esta información como altamente improbable.

¿Hasta dónde debo llevar esto sin ser irrazonable y al mismo tiempo ser ético?

¿Es suficiente informar al propietario de la total y absoluta falta de respeto por la seguridad de los datos del cliente? Aunque en lo más profundo de mi instinto no creo que lo sea? A pesar de que en el fondo quiero gritarle a algún organismo regulador del cumplimiento para que solucione esta debacle.

Estoy dividido entre no querer dañar el negocio del propietario y al mismo tiempo garantizar que la política actual con respecto a los datos de la tarjeta de crédito se suspenda.

En resumen:

¿Es más poco ético ser el informante, posiblemente está haciendo un gran daño a este negocio, o está en espera y no hace nada?

    
pregunta Reid 24.07.2011 - 10:26
fuente

3 respuestas

10

Si su organismo regulador o de cumplimiento se percibe como PCI, usted es incorrecto. Hacen las reglas y pautas, pero en esta situación es el banco adquirente de sus compañías (el banco que emitió su número de comerciante y procesa sus pagos).

¿Cuál es el volumen de datos de titulares de tarjetas que se están retirando de las instalaciones o que se desechan sin destruirlos? Por su descripción parece bastante bajo. ¿Qué nivel (cuántas transacciones por año) tiene su empresa? Estarán sujetos al menos a un SAQ (cuestionario de autoevaluación) en el que el propietario está firmando su nombre para cumplir con las reglas de PCI (esto es, por supuesto, si su banco privado está haciendo algo con respecto a PCI y le exige esto a su compañía) .

Lo mejor en mi opinión es que el problema sea fácil de solucionar. Después de todo, suena como un problema puramente procesal / operacional. Si ofrece una solución en lugar de un problema, mi conjetura es que podría ir mucho más allá, no solo para resolver el problema (suponiendo que esté buscando resolverlo) y quizás con algunas felicitaciones de su jefe (si le importa).

Una trituradora de corte transversal es de aproximadamente $ 50. Estoy seguro de que podría encontrar un gabinete con cerradura para almacenar los datos del titular de la tarjeta en una copia en papel hasta que se triture en craigslist o de segunda mano por $ 10-20. Tomaría aproximadamente 20 minutos redactar una política para que los empleados no tomen los datos del titular de la tarjeta de las instalaciones y solo desechen los datos del titular de la tarjeta en dicho gabinete de cierre. Las más de 6 personas que ven los datos no infringen PCI si tienen una necesidad / están autorizadas para verlos.

Si realmente quiere resolver el problema, proporcione una solución rentable a su jefe junto con sus inquietudes.

    
respondido por el eficker 25.07.2011 - 17:53
fuente
5

Descargo de responsabilidad: no estoy calificado para ofrecer asesoramiento legal. Si necesita asesoramiento legal, consulte a un profesional adecuado.

No sé en qué país o jurisdicción legal se encuentra, pero es posible que se requieran leyes de notificación. es decir, si tiene conocimiento de actividades ilegales o poco éticas (lo que puede ser o no) puede ser legalmente obligado a denunciarlo.

Éticamente necesita llamar la atención de alguien que intentará rectificar esta actividad. Los clientes depositan su confianza en esta empresa y su confianza está siendo traicionada. Desde un punto de vista utilitario, parece que muchos más clientes están siendo perjudicados que empleados descuidados.

A menos que la ley exija la presentación de informes, creo que es justo mencionarlo ante un gerente dentro de la compañía antes de referirse al cumplimiento o la autoridad reguladora. Puede que tenga razón en su predicción sobre la respuesta de la administración, pero también puede estar equivocado, por lo que es justo darles la oportunidad de corregir el problema.

El mayor problema que veo es una posible reacción en contra de usted si notifica a su gerencia, no hacen nada y luego remite el problema a una autoridad reguladora o de cumplimiento. Si no está preocupado por una posible reacción adversa, procederé notificándolo a su gerencia. Si le preocupa una posible reacción adversa, entonces puede pensar en pasar por alto a su administración e ir directamente a las autoridades regulatorias o de cumplimiento.

    
respondido por el this.josh 24.07.2011 - 23:44
fuente
1

Por lo general, en estas situaciones, las personas que toman las decisiones de negocios entran en la rutina de "¿Nunca me pasará nada malo?" o "¿Quién querría apuntar a esta pequeña empresa, cuando hay peces grandes por ahí?" Es honestamente y verdaderamente una decisión de negocios.

Si este propietario es tan distante, casi creo que ustedes tienen un problema mayor con los empleados que ponen esos recibos en sus bolsillos en lugar de la basura, ya que no hay responsabilidad.

Obviamente, esta es una línea muy difícil que debes caminar, si te sientes incómodo con respecto a dónde trabajas por lo que están haciendo éticamente. Lo mejor es probablemente que busques otro trabajo. El problema es que, si bien tienes razón, tampoco tienes credibilidad. ¿Cómo vería a alguien que trabaja para usted a tiempo parcial / limitado? Se acercó a usted y le dijo que sus procesos de negocio son incorrectos. Concedido, probablemente sea más fácil en una empresa más pequeña que en una más grande, pero es muy probable que se tome la brisa. Si obtiene una entrevista final, asegúrese de informarles con respeto el "por qué".

No cambiará hasta que alguien con mayor poder que su propietario le diga que debe cambiar.

    
respondido por el M15K 27.07.2011 - 16:16
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las desventajas de la autenticación de inicio de sesión único? ¿Son los generadores de contraseñas de SS64.com un buen enfoque?