cat ccs.dat |grep “Santamarta, Ruben” |uniq | wc -l
1

“The information is said to include account details and in some cases customers’ signatures, mobile phone numbers and mothers’ maiden names.”

http://news.bbc.co.uk/1/hi/uk/7581540.stm

Básicamente es un apreton de tuercas como la copa de un pino que te obliga a segregar hasta el último servicio, y una vez que los tienes segregaditos a imponer una política de hardening bastante importante. Finalmente te obligan a que pases escaneos de vulnerabilidades y auditorias de forma frecuente.

Si no cumples, en teoría VISA te manda a freir esparragos y no te deja participar en el negocio. En la práctica no se si nunca lo han llegado a hacer.

También en la práctica hay mucho tio por ahí que te certifica en PCI. Evidentemente si el auditor y/o certificador es un nabo, el resultado es un nabo. Hay poca gente que lo implemente bien.

En la teoría, si se cumple a rajatabla, sube el listón de seguridad notablemente, y eso suele ser siempre porque se pasa del estado “pa que gastar en seguridad, con lo caro que es” al estado “si no cumplo me echan del negocio”. Y si se cumple bien deja como resultado una red (de pagos) relativamente segura.

Sin duda es una acción desesperada de VISA para parar el desmadre que se venía viviendo con las tarjetas de crédito, al menos en este frente. Lo mejor de todo esto es que según tengo entendido (falta de confirmar por fuentes fiables, referencias por favor) de que si hay un incidente, quien paga no es el tio que le entraron, sino que el certificador asume el gasto. El resultado de está puede ser buena.