恕我直言，最合乎道德的做法是辞职并举报他们。推理：

• 您对用户负有道德义务，在公司声称您这样做的范围内保护他们的数据安全。
• 您对您的公司负有保持其产品正常工作、安全、合规并遵守订单的道德义务。

因为你不能同时支持这两者，所以你应该辞职，因为这会让你摆脱第二个义务，因为公司正在让你担任这个职位。

更实际：

• 您可能想与其他高管交谈，解释说故意不合规和误导客户会使公司面临损害赔偿诉讼，而且如果披露，他们可能会失去消费者信心，特别是考虑到目前的隐私和安全状况公众的关注。公司可能面临的危险应该引起他们的注意。
• 您可能需要考虑收集证据并让上述高管解雇您，然后就错误终止或其他妨碍您的职业生涯的事情提起诉讼（不是律师，请咨询真正的律师）。结果将与道德示例中的相同，但是您会因麻烦四而得到一些钱。

就个人而言，我会调查两种可能的途径：

1. 内部审计——许多人害怕 IA，经理们不喜欢他们四处寻找，因为他们倾向于发现需要处理的问题。但是，根据我的经验，直接去找他们（并明确你的情况）可能非常有效。

2. 如果您的组织有举报政策，那么悄悄地调查它是明智的。如果 IA 不起作用，我会考虑。

在任何一种情况下，您都必须确保您有关于问题的书面证据以及您已将问题提交给适当管理层的证据。您还必须确保，当您没有收到书面回复（通常在这些情况下您只会收到口头回复）时，您会发送另一封电子邮件，说明您没有收到回复。那时，您已经完成了您的角色所要求的工作。现在，如果你被赶出去或直接被解雇，你就有理由提起不当解雇。当然，请确保您在工作计算机之外拥有相关电子邮件的副本。如果您有律师，请将电子邮件转发给他们，以便他们有时间戳。

覆盖了自己之后，您现在可以选择上述选项。当然，你必须认识到，跟进这件事很可能会导致你失去工作。你需要为此做好准备。

在开始任何这些之前，您需要仔细检查您的所有假设。利用专业网络，或许可以考虑加入一个可以为您提供支持的专业团体。

您有多少次进行后续评估时想知道“他们去年到底是怎么通过的？” 我可以告诉你，我一直认为这是 QSA。当我告诉客户他们必须做一些不同的、范围更大的、花费更多的钱并且需要更长的时间时，他们会讨厌它。我总是说，“我不知道去年发生了什么，但我指着 DSS 说这是你必须做的。

我经常想知道我是否应该报告旧的 QSA，但我又回来了；“他们用自己的判断力通过了公司，说不定有什么我不知道的。” 作为 QSA，我们始终根据自己的判断做出决定。当客户没有满足信函的要求时，您可能已经使用您的方法让他们通过，但工作做得足够好并且风险很低。

我个人认为你的工作就是解决问题并忘记过去——历史的意外。如果 QSA 经常这样做，他们就会被抓到并失去认证。

如果管理层决定对你采取行动，我会通过收集事实来保护自己，但你现在的工作是解决手头的问题。

现在，

去找执行小组的其他成员，然后告诉他们今年你想使用不同的审计员，而不是你的旧公司！这样你就避免了“友好通行证”的问题。不要陷入对过去的责备战争，你会失去的。

只要说，“看，这是历史的意外，我不在乎。你雇我做一份工作。我需要使用不同的审核员来正确完成工作”。如果他们不支持您，请尽快开始寻找另一份工作。如果新公司问为什么——说实话而不暴露名字。只是说我的道德不允许我做我知道是错误的事情。我被置于一个我知道这是真的错误的位置，这是一个没有胜利的局面。

根据您的经验，您知道必须采取哪些措施来保护公司。考虑到正确完成工作所需的美元、时间和资源，高管们可能会很合适。冷处理，如果他们拒绝，就开始寻找新工作。一旦你出去了，给董事会成员发一封信，让他们知道他们在管理层有问题；让他们像一个好的董事会应该做的那样与高管打交道。

如果你是第三个角色，可能是你之前尝试过但失败的人；他们被带到门口或退出，因为这对他们来说是站不住脚的。鉴于目前的制度已经证明不够称职，你可能现在就找一份新工作，避免你即将开始的 *&^% 风暴。如果您走路或被解雇；您需要警告您的团队有关这些问题以及如果公司因臀位而发生不好的事情可能会对他们的职业生涯造成打击。

我的工程师说试着坚持下去并解决问题。如果你成功了，你就有了巨大的胜利；管理层会尊重你的辛勤工作；但这就是你注册要做的。我的经验丰富的经理说，在您损坏运营商之前立即离开；还有很多其他优秀的公司正在寻找像你这样的人。

我想我会添加这个；如果违规行为真的很公然；开放端口、分段问题、修补问题；没有 PEN 测试... - 真正使公司处于危险之中的东西，那么您应该报告 QSA。您没有说明违规行为的严重程度；所以在这里使用你的判断。请注意，您不知道去年或前几年发生了什么。