כמה עולה להביא את הארגון לעמידה בתקן PCI?
שאלת המיליון דולר (בעצם, אני מקווה שהרבה פחות). בסוף התהליך אני משער שניתן יהיה לחשב בערך כמה זה עלה לנו.
מישהו שאל כמה עולה לא להיערך לתקן PCI? אני לא בטוח שהערך הבא הוא מספר מהימן, אבל נאמר לי ע"י גורם כלשהו שבמקרה של גניבת מספרי כרטיסי אשראי חישוב הקנס לארגון הוא:
-
מספר הרשומות (מספרים) שנגנבו X $30 לרשומה.
כלומר, אם נגנב בסיס נתונים שמכיל 100,000 רשומות, הקנס שיושת על הארגון יעמוד על 3 מיליון דולר! גם אם ערך הקנס נמוך יותר, זה עדיין הרבה כסף. וזה במידה והעונש יסתיים בקנס בלבד.
חשוב לזכור שבסיסי נתונים יכולים להכיל גם יותר ממיליון רשומות. כמובן שבמקרה כזה הקנס יהיה גבוה פי 10.
CISO בלוג אבטחת מידע 
אני מבין שעוד מישהו עוסק בתקצוב תוכנית העבודה לשנה הבאה…
אני חושב שהשאלה היא לא רק כמה יעלה הקנס. אם חברת הסליקה תאלץ להפסיק לסלוק את כרטיסי האשראי של הארגון, הוא יהיה מוכן לשלם הרבה מאוד.
כן אבל עדיין הקנס הוא פוטנציאל תאורטי לעומת סכום מעשי מאד שצריך לשלם מיידית אם רוצים להערך לתקן. כמו כן, סביר להניח שבמקרה כזה, יהיה משא ומתן על הקנס וכן הלאה. זה לא כזה קשיח. אגב, מה קורה אם חברה נערכה ל PCI ובכל זאת גנבו ממנה מספרי כרטיסי אשראי? מה אז?… והיו לפחות שני מקרים מדווחים כאלה בקנה מידה גדול.
לגבי הפסקת סליקה, אני טוען שוב שמבחינה עסקית זה בלתי סביר (אלא אם מדובר בארגון מפוקפק) שחברת אשראי תפסיק לעבוד עימו אם הרווחים שלה ממנו גדולים מספיק. יהיו דיונים, מנכ"ל א ידבר עם מנכ"ל ב, ישתו משהו, יאכלו משהו והכל יהיה בסדר. לא שאני אומר שצריך לזלזל, אבל כאשר מעורב כסף וביזנס, אבטחת המידע טובה בשביל מנגינת הרקע בעיקר.
שמעו 0