Den seneste Wired artiklen I Juridisk første Data-Tilsidesaettelse Suit Mål revisordiskuteres, hvordan et kreditkort selskab er at sagsøge selskabet, der performedtheir sikkerhed revision. Problemet er, at det kreditkort selskab wastold at det var CISP (Kortindehavers Information Security Program) kompatibel, når det virkelig var det ikke. Per visa.com, "CISP er bestemt til at beskytte Visa kortindehaverens data-hvor itresides-at sikre, at medlemmer, handlende og service providersmaintain den højeste informationssikkerhed standard" (CISP har sincebeen affattes PCI (Payment Card Industry) standarden.) Thelawsuit blev udløst af tyveri af 263.000 kortet numre fra thecredit kortselskabet. Så hvis sagsøger varvirkelig CISP-kompatibel, betyder det er der ingen måde tyveri wouldhave opstod? Var kreditkortselskabet lulled ind i en falsk senseof sikkerhed på grund af de falske CISP certificering?

Der er to sider af denne:

• Thecredit kortselskabet påberåbes revisionsproceduren selskab (måske for meget) for at fortælle dem, hvis de var CISP kompatibelt eller ej, og at rådgive dem onhow at gøre deres systemer sikre mod tyveri
• Den auditingcompany lavet en aftale med kunden til en tilfredsstillende gennemgang theirsystems for mulige trusler (omfatte kortnummer tyveri), makerecommendations og bruge CISP krav som deres målestok.

Sowho ikke her? Kontrolholdet selskab kan være skyldig i falsk advertingand under udførelse af kontrakten. Kreditkort selskab kan beguilty for ikke at have tilstrækkelig in-house sikkerhedspersonale til at holde theirsystems sikker. Uanset, præcedens vil blive indstillet, hvis det er determinedthat faktisk Den falske CISP bedømmelse af revisionsproceduren selskab contributedto den sikringsrelaterede hændelse.

Er denne form for sagen godt eller dårligt for sikkerhedscertificering industrien? Måske godt, fordi:

• Certificering emittenter vil blive mindet om de potentielle omkostninger ved at belønne en certificering til en syge-kvalificeret kandidat
• Companiesholding følsomme data skal tage ejerskab til deres sikkerhed, og notrely for meget på eksterne organisationer til at håndtere det for dem
• Det er et wake-up call til alle involverede

Jeg tror, det kreditkort selskab i sidste ende er ansvarlig for. Men som citeret i Wired artiklen "... der er behov for mechanismsdeveloped at holde revisorer ansvarlig for rigtigheden af theiraudits." True. På grund af en gensidig forpligtelse til at påvise qualityexists mellem certifikat indehaveren og certifikat udsteder, for onerepresents den anden. Og vi er alle ansvarlige professionelt - andsoon, måske lovligt såvel.




Mere ...