De senaste Wired artikeln
I Rättsligt första Data-sidosättande Suit Mål Revisordiskuteras hur ett kreditkortsföretag stämmer företag som performedtheir säkerhet revision. Problemet är att kreditkortsföretaget wastold att det var CISP (Kortinnehavarens Information Security Program) kompatibel, när det verkligen inte. Per
visa.com"CISP är avsedd att skydda Visakortsinnehavaren uppgifter var itresides-se till att medlemmar, säljare och service providersmaintain högsta informationssäkerhet standard" (CISP har sincebeen ersättas med PCI (Payment Card Industry) standard.) Thelawsuit är följden av stöld av 263.000 kort nummer från thecredit Card Company. Så om käranden
varverkligen CISP-kompatibel, betyder det inte finns något sätt stöld wouldhave inträffat? Var kreditkortsföretaget invaggats i en falsk senseof säkerhet på grund av falska CISP certifiering?
Det finns två sidor till detta:
- Thecredit kortet bolaget åberopat revisionsförfarandet företag (kanske för mycket) för att berätta för dem om de var CISP kompatibel eller inte, och ge råd onhow att göra sina system säkra från stöld
- Den auditingcompany gjort ett avtal med kunden att på ett adekvat sätt granska theirsystems för eventuella hot (inkludera kortnummer stöld), makerecommendations och använda CISP krav som måttstock.
Sowho inte här? Bland företag kan vara skyldig till falsk advertingand underrepresenterade genomföra kontraktet. Kreditkortsföretaget maj beguilty för att inte ha tillräckligt med egna säkerhetspersonalen att hålla theirsystems säker. Oavsett, prejudikat kommer att fastställas om det är determinedthat faktiskt den falska CISP betyg av revisionsbyrå contributedto säkerhetstillbudet.
Är denna typ av fall bra eller dåligt för säkerhetscertifiering industrin? Kanske bra, eftersom:
- Certifiering emittenter kommer att bli påmind om vad det kan kosta att belöna ett intyg till ett dåligt kvalificerad kandidat
- Companiesholding känsliga uppgifter måste ta ansvar för sin säkerhet, och notrely för mycket på externa organisationer för att hantera det för dem
- Det är en väckarklocka för alla inblandade
Jag tror att kreditkortsföretaget är ytterst ansvarig. Men som citeras i Wired artikeln, "... det måste finnas mechanismsdeveloped hålla revisorer ansvarig för riktigheten av theiraudits." True. Eftersom en ömsesidig skyldighet att visa qualityexists mellan intyg innehavaren och intyg emittenten, för onerepresents den andra. Och vi är alla ansvariga professionellt - andsoon, kanske lagligt också.
Mer ...
Mer UNIX och Linux Forum Ämnen Du kan hitta Helpful
Powered by 
06-09-2009
Gängade Mode
