De recente Wired artikel In Juridische First Data-Schending Suit Doelen accountantbespreekt hoe een creditcard bedrijf eist het bedrijf dat performedtheir security audit. Het probleem is dat de creditcard maatschappij wastold dat CISP (kaarthouder Information Security Program) voldoet, als het echt niet. Per visa.com"CISP is bedoeld ter bescherming van Visa kaarthouder gegevens waar itresides-ervoor te zorgen dat leden, handelaars en service providersmaintain de hoogste informatiebeveiliging norm" (CISP heeft sincebeen vervangen door de PCI (Payment Card Industry) standaard.) Thelawsuit werd veroorzaakt door de diefstal van 263.000 kaart nummers van thecredit Card Company. Dus als de eiser wasecht CISP-conform is, betekent dat er geen manier waarop de diefstal wouldhave gebeurd? Was de creditcardmaatschappij een vals senseof veiligheid als gevolg van de pseudo CISP certificering?

Er zijn twee kanten aan dit:

• Thecredit kaart onderneming zich op de controle bedrijf (misschien te veel) te vertellen of ze waren CISP conforme of niet, en adviseren hen onhow om hun systemen beveiligen tegen diefstal
• De auditingcompany gemaakt een overeenkomst met de klant om op adequate wijze herzien theirsystems voor mogelijke bedreigingen (inclusief kaartnummer diefstal), makerecommendations, en gebruik de CISP eisen hun maatstaf.

Sowho niet hier? De controle bedrijf kunnen schuldig maken aan valse advertingand onder-uitvoering van de opdracht. De creditcardmaatschappij mei beguilty van het ontbreken van voldoende in huis beveiligingspersoneel te houden theirsystems veilig. Ongeacht, precedent zal worden ingesteld als het is inderdaad determinedthat de nep CISP beoordeling door het accountantsbureau contributedto het veiligheidsincident.

Is dit soort gevallen goed of slecht voor de veiligheid certificering industrie? Misschien goed, omdat:

• Certificering emittenten zal worden herinnerd aan de potentiële kosten van het belonen van een verklaring aan een slecht gekwalificeerde kandidaat
• Companiesholding gevoelige gegevens moet rekening eigendom van hun veiligheid en notrely te veel op externe organisaties om het voor hen
• Het is een wake-up call voor iedereen die betrokken

Ik denk dat de creditcardmaatschappij uiteindelijk verantwoordelijk is. Maar zoals vermeld in het artikel van Wired, "... er moet worden mechanismsdeveloped om accountants verantwoordelijk voor de juistheid van theiraudits." True. Omdat een wederzijdse verplichting om aan te tonen tussen het certificaat qualityexists houder en certificaat uitgevende instelling, onerepresents voor de andere. En we zijn allemaal verantwoordelijk professioneel - andsoon, misschien wel legaal zijn.




Meer ...