Le récent article Wired Dans juridique Premièrement, la violation de données Suit échéances comptesexamine la façon dont une société de carte de crédit est de poursuivre la société qui performedtheir audit de sécurité. Le problème est que la compagnie de carte de crédit wastold qu'il était CISP (Cardholder Information Security Program) compatible, alors qu'il ne l'était pas. Par visa.com», Le PAIC est destiné à protéger les données de carte Visa où itresides-assurer que les membres, les commerçants, et le service providersmaintain le plus haut standard de sécurité de l'information" (CISP sincebeen est remplacé par le PCI (Payment Card Industry) standard). Thelawsuit a été déclenché par la le vol de 263.000 numéros de carte de carte thecredit entreprise. Ainsi, si le demandeur étaitvraiment PAIC conforme, cela veut dire il n'y a pas moyen que le vol aurait eu lieu? Est-ce que la compagnie de carte de crédit endormir dans un faux sens de sécurité en raison de la fausse CISP certification?

Il ya deux côtés à cette situation:

• Thecredit compagnie de carte de vérification fondé sur la société (peut-être trop) de dire si elles étaient conformes CISP ou non, et de les conseiller onhow à faire leur la sécurité des systèmes de vol
• Le auditingcompany a conclu un accord avec le client de manière appropriée à l'examen d'éventuelles menaces theirsystems (y compris numéro de carte de vol), makerecommendations, et utiliser le PAIC exigences que leur référence.

Sowho pas ici? La société de révision mai coupable de fausses advertingand sous-exécution du contrat. La société de carte de crédit mai beguilty de ne pas avoir adéquate dans la maison du personnel de sécurité à garder theirsystems sûr. Peu importe, précédent sera créé si il est en effet determinedthat les faux avis du PAIC par l'audit de la société contribué incident de sécurité.

Est ce genre de cas, bon ou mauvais pour l'industrie de la certification de sécurité? Peut-être bien, parce que:

• Certification émetteurs se rappelle le coût potentiel de récompenser d'une certification à un mauvais candidat
• Companiesholding des données sensibles doivent prendre en main leur sécurité, et notrely trop sur des organisations extérieures à gérer pour eux
• C'est un avertissement pour tous les acteurs

Je pense que la compagnie de carte de crédit est responsable en dernier ressort. Mais, comme cité dans l'article Wired, "... il faut mechanismsdeveloped de tenir les auditeurs responsables de l'exactitude de theiraudits." True. Comme une obligation réciproque de démontrer qualityexists entre le certificat émetteur et titulaire de certificat, pour onerepresents l'autre. Et nous sommes tous responsables professionnels - etc, peut-être ainsi légalement.




Plus d'informations ...