Nas últimas semanas apareceram várias notícias sobre empresas que tiveram problemas de IT Security e eram aderentes ao PCI DSS. Eu não sei o que é pior, este tipo de relação na imprensa ou os responsáveis pela segurança relacionados afirmarem que mesmo assim foram hackeados (crackeados gente, crackeados …).
Apesar de me parecer ser algo óbvio para a maioria dos profissionais, parece que não é bem assim que está funcionando. Compliance com PCI DSS significa que a empresa está cumprindo requisitos mínimos de segurança específicos para proteger o ambiente onde existe o fluxo de dados do portador do cartão, e que estes requisitos foram validados por um QSA.
Vamos as notícias:
- 4 Years After TJX Hack, Payment Industry Sets Security Standards: Um dos vazamentos mais comentados, foi causado pelo uso de um modelo de criptografia ultrapassado na rede wireless da empresa. Se ela estava conectada aos dados do portador? Não sei, mas que houve um escalonamento de privilégios, isso houve.
- In Legal First, Data-Breach Suit Targets Auditor: A evolução de um caso possivelmente que ficará na história, uma vez que a empresa que sofreu o ataque está processando os auditores que a certificaram como segura.
- Network Solutions breach exposes nearly 600,000: Um malware plantado dentro da rede de dados da empresa estava enviando dados de cartão de crédito para o mundo externo. O que está acontecendo, ainda está sob investigação.
{ 0 comments }