如果您的合规或监管机构被视为 PCI，那么您就错了。他们制定规则和指导方针，但在这种情况下，它是您公司的收单银行（发行您的商户编号并处理您的付款的银行）。

有多少持卡人数据被带出场所或未经粉碎丢弃？从你的描述来看，似乎很低。您的公司是什么级别（每年多少笔交易）？他们将至少接受一份 SAQ（自我评估问卷），其中所有者签署他的名字以遵守 PCI 规则（当然，如果您的收购银行实际上对 PCI 做了任何事情并要求您的公司这样做） .

我认为最好的事情是使问题易于解决。毕竟，这听起来像是纯粹的程序/操作问题。如果您提供解决方案而不是问题，我的猜测是，您不仅可以在解决问题（假设您正在寻找解决问题）方面取得更大的进步，而且可能会得到您老板的一些赞誉（如果您关心的话）。

一个横切碎纸机大约是 50 美元。我敢肯定，您可以找到一个锁柜来将持卡人数据存储在硬拷贝上，直到它在 craigslist 或二手上以 10-20 美元的价格被粉碎。起草政策大约需要 20 分钟，员工不得将持卡人数据带出场所，仅将持卡人数据丢弃在所述锁柜中。看到数据的 6 人以上如果有需要/被授权查看数据，则不违反 PCI。

如果您真的想解决问题，请向您的老板提供具有成本效益的解决方案以及您的顾虑。

免责声明：我没有资格提供法律建议。如果您需要法律建议，请咨询适当的从业者。

我不知道您所在的国家/地区或法律管辖区，但可能需要报告法律。即，如果您知道非法或不道德的活动（这可能是也可能不是），您可能需要依法报告。

从道德上讲，您需要将此活动引起试图纠正它的人的注意。客户信任这家公司，他们的信任被背叛了。从功利主义的角度来看，听起来好像受到伤害的客户比粗心的员工要多得多。

除非法律要求报告，否则我认为在提及合规或监管机构之前将其提交给公司内部的经理是公平的。您对管理层反应的预测可能是正确的，但您也可能是错误的，这就是为什么给他们一个纠正问题的机会是公平的。

我看到的最大问题是，如果您通知您的管理层，他们什么都不做，然后您将问题提交给合规或监管机构，您可能会遭到强烈反对。如果您不担心潜在的反弹，那么我会通知您的管理层。如果您担心潜在的反弹，那么您可能需要考虑绕过您的管理层并直接前往合规或监管机构。

通常在这些情况下，做出业务决策的人会陷入“没有什么不好的事情会发生在我身上吗？”的老套路。或“当那里有大鱼时，谁愿意瞄准这家小公司。” 这是诚实和真正的商业决策。

如果这个所有者如此冷漠，我几乎会认为你们有一个更大的问题，即员工将这些纸条放入口袋而不是垃圾箱，因为没有责任。

如果您因为他们的道德行为而对自己的工作地点感到不安，那么这显然是您必须走的一条非常棘手的路线。最好的事情可能是你找另一份工作。问题是，虽然你是对的，但你也没有可信度。您如何看待为您工作的兼职/有限的人来找您并告诉您您的业务流程是错误的。诚然，在小公司可能比大公司更容易，但它很可能是轻而易举的。如果您接受离职面谈，请务必让他们恭敬地知道“为什么”。

除非拥有比您的所有者更大的权力的人告诉他们必须改变，否则它不会改变。