31/03/2014

Le QSA Trustwave poursuivi en justice suite au piratage de TARGET

Deux banques, Trustmark National Bank and Green Bank, considèrent avoir subi un préjudice après le piratage de TARGET : le nombre de litiges et de demandes de rémission de cartes a explosé.

Cas unique jusqu'à présent, les deux banques poursuivent l'auditeur QSA de TARGET: la société TRUSTWAVE.  La responsabilité du QSA est donc clairement mise en porte à faux.

Je vois là une situation qui va tendre encore un peu plus les relations entre les clients et les QSAs.

Sans parler des compétences des auditeurs (car il s'agit d'une affaire de personnes) il est connu que certaines sociétés QSA vont avoir tendance à sous-vendre (en charge de travail) les audits de certification pour gagner les clients. Et, comme pour les services achats, tous les QSA se valent (également, tous les pentesters se valent…), beaucoup de sociétés se font certifier à la va-vite en prenant énormément de risques sur leur sécurité et celle des cartes de leurs clients.


Avec le procès de TRUSTWAVE, les clients risquent de voir la facture des audits PCI DSS augmenter sensiblement, car il est certain que les QSAs vont se border et renforcer leurs contrôles.

http://www.reuters.com/article/2014/03/30/us-target-trustwave-lawsuit-idUSBREA2T01B20140330

EDIT : La plainte a été retirée:

 http://www.arnnet.com.au/article/541783/banks_withdraw_claim_against_target_over_break-in/?utm_medium=newsletter&eid=-100&utm_source=arn-daily

Aucun commentaire:

Enregistrer un commentaire