Una gran cadena de supermercados en el Reino Unido, son almacenando sus contraseñas en texto simple . Al parecer, el departamento de seguridad de Mastercard ya está involucrado. Me gustaría denunciarlos por violar PCI-DSS, ya que la falta de seguridad de sesión y las contraseñas no rotas representan problemas de seguridad graves.
No puedo ver nada sobre el reporte de violaciones en el sitio web de PCI. ¿Alguna idea de si hay un contacto o correo electrónico de contacto para este tipo de cosas?
En primer lugar, gracias por compartir esta interesante y reveladora publicación de Troy Hunt. En cuanto a su pregunta, después de realizar una búsqueda seria en Google y de consultar con los profesionales de PCI DDS, la mejor respuesta que puedo darle es:
Si la entidad cumple con las normas y aún es una violación de uno de los requisitos por parte de un cliente u otro agente externo, él / ella debe poder informar el problema al soporte de la empresa o al contacto, ya que no hay un contacto directo o formal. Referencia o procedimiento requerido por el PCI.
En otras palabras: "ve a pescar"
a) PCI-DSS es un estándar, no una certificación. Es requerido por los bancos que prestan servicios de pago con tarjeta, y ellos son los que deciden si un comerciante cumple con el estándar a su entera satisfacción.
b) ¿Cómo sabe que no cumplen con PCI-DSS? Puede tener una seguridad muy deficiente en todo tipo de áreas de su negocio y aún así cumplir con el estándar, ya que se enfoca exclusivamente en las tarjetas de crédito.
c) Dado que PCI-DSS se relaciona con un contrato privado entre un banco y su cliente, ¿cómo cumple o no cumple con PCI-DSS su negocio?
Las únicas 2 maneras en que sé que el cumplimiento se hace cumplir es mediante una auditoría pagada por un tercero o después de que su sistema se active, es demasiado tarde.
Informaría esto a sus gerentes superiores o funcionarios de cumplimiento y ellos no harán nada para resolverlo, al menos tendrá el rastro en papel que reportó en el caso de que la compañía sea comprometida o auditada (tercero o alimentado) .
El mejor consejo que puedo dar es a BCC una cuenta de correo electrónico externa con una contraseña diferente (en su cuenta externa) cuando envíe estos correos electrónicos. Recuérdeles que un error como este puede costarles a la empresa y es tan importante como una buena solución de respaldo probada.
Lea otras preguntas en las etiquetas passwords known-vulnerabilities pci-dss