De siste Wired artikkelen I Juridisk Først Data-Brudd Suit Mål Revisordrøfter hvordan en Kredittkortet er suing selskapet som performedtheir sikkerhet tilsynet. Problemet er at kredittkortselskapet wastold at det var CISP (Kortinnehavers Information Security Program) kompatibel, når det egentlig ikke var. Per visa.com"CISP er ment å beskytte Visa kortinnehaveren databehandlingssystem hvor itresides-sørge for at medlemmer, forhandlere og service providersmaintain høyest informasjonssikkerhet standard" (CISP har sincebeen erstattet av PCI (Payment Card Industry) standard.) Thelawsuit ble utløst av tyveri av 263.000 kort nummer fra thecredit kortet selskapet. Så hvis saksøker varvirkelig CISP-kompatibel, betyr det er det ingen måte for tyveri wouldhave skjedde? Was kredittkortselskapet lulled inn en falsk senseof sikkerhet på grunn av falsk CISP sertifisering?

Det er to sider på denne:

• Thecredit kort selskap basert på revisjon selskap (kanskje for mye) for å fortelle dem om de var CISP kompatibel eller ikke, og å veilede dem onhow til å gjøre sine systemer sikker mot tyveri
• Den auditingcompany gjort en avtale med kunden til tilstrekkelig vurdering theirsystems for mulige trusler (inkluderer kortnummeret tyveri), makerecommendations, og bruke CISP kravene som yardstick.

Sowho mislyktes her? Det revisjon selskapet kan være skyldig i falsk advertingand under resultater kontrakten. Kredittkortet mai beguilty for ikke å ha tilstrekkelig in-house security staff å holde theirsystems sikker. Uansett presedens blir sett hvis det er determinedthat indeed den lurekunder CISP vurdering av revisjons selskap contributedto de sikkerhetshendelse.

Er denne typen sak bra eller dårlig for sikkerheten sertifisering industri? Kanskje bra, fordi:

• Sertifiseringsinformasjon utstedere vil bli påminnet om potensielle kostnader ved å belønne en sertifisering til et dårlig kvalifisert kandidat
• Companiesholding sensitive data må ta eierskap til deres sikkerhet, og notrely for mye på eksterne organisasjoner til å håndtere det for dem
• Det er en våkne opp ringe til alle som er involvert

Jeg tror Kredittkortet er i siste instans er ansvarlig for. Men som siteres i Fast artikkelen "... det må mechanismsdeveloped å holde revisorer ansvarlig for nøyaktigheten av theiraudits." True. Fordi en gjensidig forpliktelse til å demonstrere qualityexists mellom sertifikat holderen og sertifikat utsteder for onerepresents den andre. Og vi er alle ansvarlige profesjonelt - andsoon, kanskje lovlig også.




Mer ...