¿El cumplimiento de PCI puede evitar multas?

5

Estamos trabajando muy duro para lograr el cumplimiento de PCI para un proyecto y es probable que gastemos cientos de dólares cada mes, pero me preguntaba qué pasaría si, Dios no lo quiera, suceda algo improbable y de alguna manera hay una brecha. pagar por las "consultas" y los datos del titular de la tarjeta expuesta, aunque cumplimos con las normas de PCI?

Solo estoy considerando el peor de los casos, porque si compañías como Sony pueden ser hackeadas, somos un pequeño emprendedor después de todo.

    
pregunta Nimbuz 17.12.2012 - 17:50
fuente

3 respuestas

4

El cumplimiento de PCI no es un seguro.
No es una medida real de protección.

Resumo el valor del cumplimiento de PCI en mi conocida ley del mismo nombre, Ley de cumplimiento de AviD :

  

El cumplimiento con PCI reduce el riesgo de las sanciones por incumplimiento.

En otras palabras, al igual que el pago de impuestos es un requisito pero no necesariamente le da derecho a ningún beneficio gubernamental específico, usted tiene para cumplir. Y si no es así, usted tendrá que pagar una multa. Pero esto no necesariamente ayuda a prevenir violaciones o responder a ellas ...

Como respondí en aplicabilidad del escaneo de vulnerabilidad para PCI DSS , el cumplimiento no se trata de seguridad.
Como se mencionó en las otras respuestas aquí, debe implementar controles de seguridad y características seguras aparte del cumplimiento. Si te rompen, todavía tienes consecuencias de eso.

Sin embargo, ser compatible en el caso de una infracción significa que no recibirá una multa por incumplimiento. (Consulte la ley de AviD más arriba ...) Deberá pagar cualquier otro costo, como daños y costos de reparación, pero al menos no habrá una multa (bueno, al menos no de parte de PCI; otras leyes y regulaciones pueden aplicar).

    
respondido por el AviD 19.12.2012 - 10:39
fuente
3

Tenga en cuenta que obtener el QSA para el cumplimiento no significa necesariamente que cumpla con la PCI.

Aunque necesita mostrar el cumplimiento de PCI, será mejor que se concentre en hacer los controles correctos, lo que lo protegerá y lo pondrá en una buena posición para aprobar el PCI.

Y sí, todavía tendrás todos los costos esperados si te hackean.

    
respondido por el Rory Alsop 17.12.2012 - 18:29
fuente
1

Sí, usted paga esas consultas incluso si cumple con PCI. Pero ser compatible con PCI también significa que es mucho menos probable que experimente tal violación.

Considere la posibilidad de franja: entonces no tiene datos de tarjeta de crédito archivados y solo tiene que preocuparse por el tipo de brecha en la que un pirata informático recibe correos electrónicos de sus compradores y correos electrónicos a todos que la información de sus tarjetas ha sido comprometida (cuando en realidad no tiene).

Incluso eso te dará una multa, porque permitiste que la lista de correo electrónico fuera hackeada y obtuviste una mala publicidad para toda la industria de PCI.

Su afirmación de que ser multado "incluso si soy compatible con PCI 'no es justo; parece que no tiene una verdadera intención de involucrarse con la idea real que se está discutiendo aquí: asumir la responsabilidad de asegurarse de que los datos del titular de la tarjeta son seguro.

    
respondido por el Ron Robinson 18.12.2012 - 00:05
fuente

Lea otras preguntas en las etiquetas