Je m'occupe davantage de la conformité HIPAA / HITECH que de PCI / DSS directement, cependant, HIPAA nécessite également généralement la conformité à PCI / DSS. Pourquoi? On ne sait jamais quand le dossier médical contiendra une copie photo recto et verso d'une carte de crédit. Le plus souvent, ils le font (malheureusement). Cela vient généralement d'une personne qui utilise simplement sa carte pour régler un ticket modérateur. Tout est simplement jeté dans un dossier.
Malheureusement, lorsque ces enregistrements sont «numérisés» par des tiers, le plus souvent, les bases de données résultantes (non chiffrées) contiennent des copies claires des informations CC. Ce n'est pas aussi mauvais qu'il y a quelques années, mais c'est toujours un problème. La cause n'y est pas l'insouciance, son impuissance.
Quelques hôpitaux ont déjà souffert de cette pratique, après que des dossiers ont été volés (physiquement ou électroniquement), ce qui a provoqué des virées shopping.
Avec n'importe quelle norme, une entreprise responsable examinera l' intention derrière la norme et réalisera les problèmes que la norme essaie de résoudre. Il en résulte (assez souvent) un dépassement des exigences de la norme. Autrement dit, si, en effet, vous vous rendez compte que la norme s'applique à vous :)
Si vous avez une violation, une seule violation et avez été malhonnête au sujet de la conformité (en revenant à votre question), vous allez:
N'obtenez jamais un autre compte marchand. Oublie ça. Vous pouvez aussi bien fermer votre boutique, vous n'avez aucun moyen d'être payé.
Être traîné devant un tribunal civil et payer des dommages et intérêts
Peut-être être renvoyé devant un tribunal pénal avec des conséquences plus graves
Profitez de payer pour la protection de l'identité de chaque personne affectée pour les années à venir
Si vous avez été honnête et que vous suivez les règles de notification / etc, vous en sortirez probablement avec un peu d'œil au beurre noir, réparerez le trou exploité et recommencerez les affaires comme d'habitude. Aucun système n'est, après tout, 100% imperméable au compromis.
Vous avez probablement raison de supposer que certaines entreprises ne respectent pas la norme. Si nous supposons cela, nous pouvons également supposer qu'ils ont été violés et n'ont tout simplement pas signalé le problème délibérément, ou peut-être (en raison du non-respect) ils n'ont pas réalisé la violation.
Visa / MC / Amex sont très bons pour trouver des modèles, ils retraceront éventuellement une tendance frauduleuse à un seul fournisseur, et ce fournisseur aura beaucoup de problèmes. La clé ici est de les informer immédiatement en cas de violation, ce qui signifie suivre les meilleures pratiques. S'ils doivent «comprendre» et découvrir (sans jeu de mots) que vous êtes le dénominateur commun, cela peut devenir très laid.