Die jüngsten Wired Artikel In rechtlicher Erste, Data-Verletzung Suit Targets Auditorbeschreibt, wie eine Kreditkarte ist verklagt die Firma, die Security-Audit-performedtheir. Das Problem ist, dass die Kreditkarten-Unternehmen, dass es wastold CISP (Cardholder Information Security Program) kompatibel ist, wenn es wirklich nicht. Pro visa.com"CISP ist zum Schutz der Visa-Karteninhaber-Daten, wo immer itresides-Gewährleistung, dass die Mitglieder, Händler-und Service-Informationen providersmaintain den höchsten Sicherheitsstandard" (CISP sincebeen wurde ersetzt durch den PCI (Payment Card Industry)-Standard.) Thelawsuit wurde durch die Diebstahl von 263.000 Karte Zahlen von thecredit Karte Unternehmens. Also, wenn der Kläger warwirklich CISP-kompatibel ist, bedeutet das es keine Möglichkeit gibt, den Diebstahl wouldhave aufgetreten? War das Kreditkarten-Unternehmen wiegen in falscher Sicherheit senseof durch die Scheinselbständigkeit CISP-Zertifizierung?

Es gibt zwei Seiten zu diesem:

• Karte Thecredit Unternehmen auf der Wirtschaftsprüfungsgesellschaft (vielleicht zu viel) zu sagen, wenn sie waren CISP-kompatibel oder nicht, und beraten sie onhow, um ihre Systeme sicher vor Diebstahl
• Die auditingcompany aus einer Vereinbarung mit dem Kunden eine angemessene Überprüfung theirsystems für mögliche Bedrohungen (einschließlich Kartennummer Diebstahl), makerecommendations, und verwenden Sie die CISP Anforderungen als Maßstab.

Sowho nicht hier? Die Wirtschaftsprüfungsgesellschaft kann falscher advertingand unter der Ausführung des Auftrags. Die Kreditkarte kann beguilty nicht mit ausreichenden In-House-Sicherheit Personal zu halten theirsystems sichern. Egal, Präzedenzfall werden, wenn es tatsächlich determinedthat die gefälschte CISP Bewertung durch die Wirtschaftsprüfungsgesellschaft contributedto der Bedrohung.

Ist diese Art von Fall gut oder schlecht für die Sicherheit Zertifizierung Industrie? Vielleicht gut, weil:

• Zertifizierung Emittenten wird daran erinnert werden, der die potentiellen Kosten der Belohnung eine Zertifizierung zu einem schlecht qualifizierte Bewerber
• Companiesholding sensiblen Daten sind die Eigenverantwortung für ihre Sicherheit, und notrely zu sehr auf externe Organisationen, um für sie
• Es ist ein Weckruf für alle Beteiligten

Ich glaube, dass die Kreditkarten-Unternehmen ist letztendlich verantwortlich. Aber wie in dem Artikel Wired, "... es muss mechanismsdeveloped zu halten Prüfer verantwortlich für die Richtigkeit der theiraudits." True. Da eine gegenseitige Verpflichtung zu zeigen, qualityexists zwischen der Bescheinigung Inhaber und sich an den Aussteller, für die anderen onerepresents. Und wir sind alle professionell Rechenschaft - andsoon, vielleicht aber auch rechtlich.




Mehr ...