Estoy escribiendo este post porque me enfrento a un dillemma ético y personal y me gustaría recibir comentarios sobre la mejor manera de abordar esta situación, en particular desde un punto de vista filosófico.
Trabajo para una pequeña empresa. Estoy a tiempo parcial, haciendo cosas de tipo "gruñido" mientras pago la universidad. Trabajé en este campo en particular antes en una escala mucho más grande, por lo que es algo muy fácil para mí. Si bien ciertamente no soy perezoso, y hago mi trabajo, tampoco soy el "hombre de compañía súper leal" que he sido para otros trabajos de tiempo completo. Supongo que me siento más desapegado de este trabajo que en el pasado.
De todos modos, tenemos empleados que deben tomar pedidos de los clientes y usamos un sistema basado en papel. También recibimos estos pedidos por teléfono y ocasionalmente el cliente paga con una tarjeta de crédito. El número de la tarjeta de crédito y la fecha de vencimiento están escritos en la parte posterior del "boleto" impreso.
También sé a ciencia cierta que estos boletos se pasan de 3 a 6 personas, salen de las instalaciones y, al menos en una ocasión, se tiran a la basura. No triturado y tirado a la basura, solo tirado a la basura.
Conociendo los conceptos básicos muy rudimentarios de cumplimiento de PCI veo esto como una gran bomba legal y financiera que espera explotar .
No solo esto, sino también personalmente No creo que esto sea correcto. Los clientes nos confían esta información y cualquiera que esté dispuesto a hacer un viaje de buceo en un basurero en el vertedero local puede encontrar el tesoro de datos de tarjetas de crédito de un ladrón. Esto es altamente inquietante.
Obviamente, voy a hablar con mi empleador sobre esto. Pero, aquí es donde entran en juego los problemas éticos.
No creo que pueda persuadir al propietario de por qué deberían cambiar esta práctica o que el costo vale la pena. El propietario es bastante insensible en lo que se refiere a las cosas, en mi opinión, y simplemente rechazaría la posibilidad de que algo sucediera con esta información como altamente improbable.
¿Hasta dónde debo llevar esto sin ser irrazonable y al mismo tiempo ser ético?
¿Es suficiente informar al propietario de la total y absoluta falta de respeto por la seguridad de los datos del cliente? Aunque en lo más profundo de mi instinto no creo que lo sea? A pesar de que en el fondo quiero gritarle a algún organismo regulador del cumplimiento para que solucione esta debacle.
Estoy dividido entre no querer dañar el negocio del propietario y al mismo tiempo garantizar que la política actual con respecto a los datos de la tarjeta de crédito se suspenda.
En resumen:
¿Es más poco ético ser el informante, posiblemente está haciendo un gran daño a este negocio, o está en espera y no hace nada?