<div dir="ltr"><div><div>Up until March 2016 you could be fully PCI compliant while managing all your devices through telnet, so...<br><br></div>Kind regards<br><br></div>Paul Wilkins<br></div><div class="gmail_extra"><br><div class="gmail_quote">On 28 February 2017 at 12:03, Mark Newton <span dir="ltr"><<a href="mailto:newton@atdot.dotat.org" target="_blank">newton@atdot.dotat.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><br><div><blockquote type="cite"><div>On Feb 28, 2017, at 11:52 AM, Morgan Reed <<a href="mailto:morgan@darkglade.com" target="_blank">morgan@darkglade.com</a>> wrote:</div><div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><div>PCI and the like helps, but that only applies to specific parts of the market, there are still plenty of players out there who have enough PII about people to allow their ID to be stolen.<br></div></div></div></div></div></blockquote><div><br></div>Target was PCI compliant. </div><div><br></div><div>Catchoftheday was PCI compliant, nobody found out about their data breaches until three years later.</div><div><br></div><div>PCI compliance doesn’t help at all. It’s orthogonal to this problem space, it protects credit card issuers, not users. The only thing it tries to protect is transaction records, and even then it only protects them to the extent necessary to avoid <i>en masse </i>disclosure of (name, credit card, expiry, CVV) tuples.</div><div><br><blockquote type="cite"><div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>Mandatory breach notification will at least mean that you KNOW your info was stolen, so you can do something about it, versus finding out three to six months down the line when you start getting calls from debt collectors chasing you for payments on the half-dozen or more credit cards that have been signed up in your name and then maxed out.<br></div></div></div></div>
</div></blockquote></div><br><div>Yep, this.</div><div><br></div><div>If you’re a small or large org, and I’m your customer, and you don’t secure MY data, you can go and die in a goddamn fire. I don’t care how much it affects your profitability, if I’ve disclosed valuable personal information to you, you have a responsibility to do whatever it takes to deserve my trust.</div><div><br></div><div>If you’re upset because your products or business practices are so hopelessly insecure that adequately discharging that responsibility makes you unprofitable, then cry me a river. You shouldn’t be in business.</div><span class="HOEnZb"><font color="#888888"><div><br></div><div><br></div><div>  - mark</div><div><br></div><div><br></div></font></span></div><br>______________________________<wbr>_________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" rel="noreferrer" target="_blank">http://lists.ausnog.net/<wbr>mailman/listinfo/ausnog</a><br>
<br></blockquote></div><br></div>