Si una empresa necesita ser compatible con PCI, ¿se imponen multas si no realizan pruebas de penetración o vulnerabilidad? En caso afirmativo, ¿se trata de una multa automática o solo si son capturados?
Si no proporciona documentación de su cumplimiento (ya sea un SAQ o su AoC y RoC) a su procesador / adquirente, dejan de procesar las transacciones por usted, lo cual es algo así como una multa en que comienza a perder dinero y clientes .
Para citar la descripción general del Cuestionario de autoevaluación de PCI DSS (SAQ) ,
Es posible que deba compartir [su SAQ] con su banco adquirente. Consulte a su adquirente para obtener detalles sobre los requisitos de validación de su PCI DSS en particular.
Los requisitos DSS 11.3.1 y 11.3.2 requieren pentests, y según este artículo que afecta a cualquier persona con SAQ A-EP, C, D-MER y D-SP.
Si se encuentra en una posición en la que puede realizar una autoevaluación, podría decir que todos los requisitos están completamente en su lugar. Por lo general, su adquirente solicitará una copia de su SAQ y la Declaración de cumplimiento firmada. Es poco probable que se requiera evidencia adicional. Una autoevaluación es solo eso; una revisión interna de sus propios procesos y el cumplimiento de los requisitos aplicables dentro de la norma sin la necesidad de proporcionar evidencia basada en auditoría a un tercero.
La autoevaluación y la declaración de que los requisitos están vigentes cuando no lo están no le brindarán seguridad a usted ni a sus clientes y lo harán más vulnerable a una infracción. Si un tercero lo revisa en cualquier momento, su falta de cumplimiento será bastante evidente. Tarde o temprano, la falta de seguridad le costará al negocio más que crear y administrar un entorno seguro.
Sí, en ciertas situaciones.
P: ¿Necesito la exploración de vulnerabilidades para validar el cumplimiento?
A: Si califica para ciertos cuestionarios de autoevaluación (SAQ) o usted almacenar electrónicamente los datos del titular de la tarjeta después de la autorización, luego un se requiere un escaneo trimestral por parte de un proveedor de escaneo aprobado (ASV) de PCI para mantener el cumplimiento.
Esto establece las circunstancias en las que se requiere un análisis de vulnerabilidad para el cumplimiento.
P: ¿Cuáles son las sanciones por incumplimiento?
A: Las marcas de pago pueden, a su discreción, multar a un banco adquirente entre $ 5,000 y $ 100,000 Por mes por infracciones de cumplimiento de PCI. Los bancos lo más probable es que pase esta multa en sentido descendente hasta que finalmente llegue al comerciante.
Esto muestra las penalizaciones por incumplimiento. ¿Es una multa obligatoria? Tal vez tal vez no. Pero existe.
Lea otras preguntas en las etiquetas penetration-test pci-dss compliance