是否审查了PCI合规性？

在阅读了有关存储信用卡详细信息的措辞非常强烈的建议之后，我想知道-如果一个非PCI兼容的公司开始存储信用卡详细信息会发生什么（我100％肯定有公司在那里这样做）。

例如，假设我没有在这里问我的问题，而我奋进去，只是决定存储客户信用卡详细信息并使用一些基本的AES加密。怎么办？如果我们从不被黑客入侵，有人会问吗？Visa或我们的商人是否愿意检查我们的服务器？

不使用符合PCI标准的基础架构会带来什么后果？

_{免责声明：我得到的提示-这是一个坏主意，我们不会这样做，但我很好奇}

我直接处理HIPAA / HITECH的法规要比直接处理PCI / DSS的多，但是，HIPAA通常也需要遵循PCI / DSS的法规。为什么？您永远不知道医疗记录何时会包含信用卡的正面和背面照片副本。他们经常（不幸）这样做。这通常是由于某人仅使用他们的卡来支付自付费用。一切都扔在一个文件夹中。

令人尴尬的是，当这些记录被第三方“数字化”时，生成的（未加密的）数据库往往包含抄送信息的清晰副本。它虽然不像几年前那么糟糕，但是仍然是一个问题。那里的原因不是粗心，它的无知。

在记录被盗（物理或电子）后，一些医院已经遭受这种做法的困扰，导致购物狂。

对于任何标准，负责任的公司都将查看标准背后的意图，并意识到标准要解决的问题。这导致（经常）导致超出标准要求。也就是说，如果您确实意识到该标准适用于您：)

如果您有违规行为，只有一项违规并且对合规性不诚实（回到您的问题），您将：

• 永远不要获得另一个商人帐户。忘掉它。您可能只需关门大吉，就无法获得报酬。

• 被拖入民事法院并必须赔偿

• 可能被拖入刑事法庭，造成更严重的后果

• 享受未来几年为每个受影响的人支付的身份保护费用

如果您是诚实的，并且遵循有关通知等的规则，您可能会有点黑眼睛，摆脱它，修复所利用的漏洞，然后照常营业。毕竟，没有任何系统可以100％抵御妥协。

假设某些公司不遵守该标准，您可能是正确的。如果我们假设这一点，我们还可以假设他们已经被违反，只是没有故意报告，或者也许（由于不遵守）他们没有意识到违反。

签证/ MC / AMEX是非常在寻找模式好，最终他们将跟踪欺诈趋势回单供应商和该供应商将在相当多的麻烦。关键是在发生违规时立即通知他们，这意味着遵循最佳做法。如果他们必须“弄清楚”并发现（不是双关语），那么您会很丑陋。

在PCI DSS 10常见的误区（PDF）关于罚款，法律费用和一般坏事会谈，所以我觉得你可以假设你会被起诉被遗忘，如果你撒谎在问卷:)

即使您假设没人愿意检查您的服务器，您也可能会解雇一名员工。然后，该员工讨厌您可能会去VISA并抱怨您没有遵循标准。

我曾在一家正在通过PCI合规性流程的公司工作，我不得不说，如果您存储的是信用卡信息而又不符合PCI规范，那将使公司面临风险。

您说对了，因为信用卡行业可能永远找不到答案，但是为什么要冒险。您必须记住，如果您违反安全性规定，或者信用卡供应商发现您可能会失去业务和声誉。

许多人认为，由于尚未发生，因此将来不会发生，这完全是错误的。让CC提供商找出或发生违规行为是“ 黑天鹅”，因为只需要发生1次就可以毁了您。

我们的工作非常努力，不要存储任何信息并确保符合要求，不要有任何麻烦，并且请确保您始终使用像miva这样的优质购物车，或者至少查看符合要求的购物车提供商列表推荐