O recente artigo Wired Na Primeira jurídica, o Data-Violação Suit Metas Auditordiscute como uma empresa de cartão de crédito está processando a empresa que performedtheir segurança auditoria. O problema é que a empresa de cartão de crédito wastold que era CISP (Cartão Information Security Program) cumpre, quando ele realmente não foi. Per visa.com, "CISP se destina a proteger os dados cartão Visa-se garantir que itresides-membros, os comerciantes, e prestadores de serviços providersmaintain o mais alto padrão de segurança da informação" (CISP tem sincebeen substituído pelo PCI (Payment Card Industry) padrão.) Thelawsuit foi desencadeada pela roubo de 263.000 números de cartão thecredit cartão empresa. Portanto, se o demandante eraverdadeiramente CISP-compatível, que quer dizer com isso não há nenhuma maneira o roubo teriam ocorrido? Foi a empresa de cartão de crédito senseof embalado em uma falsa segurança, devido ao falso CISP certificação?

Existem dois lados para isto:

• Thecredit cartão de contado com a empresa de auditoria (talvez demasiado) e dizer-lhes que se fossem CISP conforme ou não, e aconselhá-los a tornar os seus sistemas onhow seguro de roubo
• O auditingcompany feito um acordo com o cliente para rever adequadamente theirsystems para possíveis ameaças (inclui cartão de roubo), makerecommendations, e utilizar o CISP exigências como a sua bitola.

Sowho falhou aqui? A empresa de auditoria pode ser culpado de falsas advertingand sub-execução do contrato. A empresa de cartão de crédito maio beguilty de não ter suficiente em casa para manter a segurança pessoal theirsystems segura. Independentemente, precedente será fixado, se for verdade determinedthat o falso CISP rating pela empresa de auditoria de segurança contributedto incidente.

É este tipo de caso, bom ou mau para a segurança de certificação indústria? Talvez seja bom, porque:

• Certificação emitentes serão alertados para o custo potencial de premiar uma certificação de um mal-candidato qualificado
• Companiesholding dados sensíveis deve tomar posse da sua segurança, e notrely demasiado nas organizações externas para lidar com isso para eles
• É um grito de alerta para todos os envolvidos

Penso que a empresa de cartão de crédito é, em última análise responsável. Porém, como citado no artigo Wired, "... é necessário que haja mechanismsdeveloped a deter auditores responsáveis pela exactidão dos theiraudits." Verdadeiro. Porque uma obrigação recíproca de demonstrar qualityexists entre o certificado titular e certificado emitente, onerepresents para o outro. E todos nós somos responsáveis profissionalmente - andsoon, talvez legalmente também.




Leia mais ...