Hannaford und pci

Es gibt wenig definitive an dieser Stelle über den massiven Diebstahl von Kredit-und Debitkarten Informationen berichtete am Montag von Hannaford Brothers, ein Lebensmittelhändler in Maine basiert sagen. Die Firma ergab, dass etwa 4,2 Millionen Kredit-und Debitkarten Aufzeichnungen über einen Zeitraum von etwa drei Monaten gestohlen worden.

Eine kürzlich Dark Reading Blog-Post hat ein Spiel Job zu versuchen, behindern, was falsch gelaufen von der eher obskuren Ankündigung der Firma. Der Schriftsteller verfügt die Meinungen der Rich Mogull, Analyst von Securosis. Seine Meinung ist, dass die Chancen sind etwa 70 Prozent, dass die Verletzung durch Schnüffeln verübt wurde unverschlüsselten Datenverkehr und 30 Prozent von einer Datenbank Kompromiss.

Wie auch immer. Die Realität ist, dass niemand weiß. Der andere Teil der Realität ist, dass diese Dinge geschehen zu halten. Nach dem gigantischen TJX Diebstahl, gibt es absolut keine Entschuldigung (als gäbe es ein, bevor TJX) für Unternehmen, nicht umsetzen die intensivsten und eiserne Maßnahmen zur Gefahrenabwehr. Wir leben in einem Umfeld, in dem Führungskräfte, zumindest theoretisch, ins Gefängnis zu gehen, wenn ihre Unternehmen verstoßen bestimmten regulatorischen Vorschriften. Das ist natürlich extrem, aber sicherlich sollte mehr Aufmerksamkeit als dem Abmelden auf eine Pressemitteilung führen.

Es ist offenbar ein Unterschied zwischen der Art Hannaford - und Schwesterunternehmen Sweetbay - und die meisten anderen Einzelhändlern behandeln ihre Zahlungskarte Daten. Eine kürzlich Beitrag bei Network Security Blog nennt es ein "Silberstreif am Horizont." Die Unternehmen nicht zuordnen Zahlungskarten und Ablaufdaten mit den Namen und Adressen der Karteninhaber. Dieser, der Schriftsteller Vermutungen, weil die Kette wird letztlich von einem Unternehmen in Belgien (Delhaize Group) gehört, und die Abgrenzung ist im Rahmen der Europäischen Union gesetzlich vorgeschrieben. In jedem Fall ist es dadurch ein bisschen härter auf die Diebe, nach dem Schriftsteller.

Ein Thema ist wichtig, zu konfrontieren, ob es letztlich ist erwiesen, dass etwas mit dem Hannaford Verlust zu tun haben. Mehrere Artikel über die Verletzung weisen darauf hin, dass es möglich ist für ein Unternehmen kompatibel mit dem Payment Card Industry Data Security Standard (PCI DSS) zu sein und immer noch eine Verletzung, da die Regeln offenbar nur verlangen, Verschlüsselung von Daten der Kreditkarte an der Außenseite Telekommunikationsnetze . Intern können die Daten im Klartext gesendet werden.

Die Idee, dass die Regeln unzureichend sein, weil sie schützen nur die Daten einen Teil der Zeit ist es in der Steuerung der Einzelhändler sollte sorgfältig geprüft werden. Die Washington Post Brian Krebs betrifft eine Diskussion, die er mit Bryan Sartin, der Vizepräsident des investigativen Antwort für Cybertrust hatte. Sartin sagt erfolgreiche Angriffe auf PCI-konforme Unternehmen sind ein aktueller Trend. Die Quintessenz ist, dass die Unternehmen täuschen sich, wenn sie nach dem Buchstaben des Gesetzes halten bedeutet, dass sie sicher sind.

Es ist wichtig, daran zu denken: Bevor ein Gesetz verkündet wird, muss ein Unternehmen für sich selbst zu denken und umzusetzen, was der Due Diligence erzählt sie sind die wirksamsten Strategien. Bedeutet dies leicht verändern, wenn Gesetze traf die Bücher? Seit der Firmengründung hat plötzlich einen Mindestbetrag an dem zu zielen, nicht seiner Verantwortung für sich selbst zu denken, verblassen ein wenig? Hat das Unternehmen noch, um wirklich auf die Sicherung von Daten wollen - oder ist es nur erforderlich, eine Reihe von gesetzlichen Vorschriften, die nicht wirklich umfassende Sicherheit erfüllen kann? Schließlich, wenn erfüllt es die Anforderungen und Daten trotzdem gestohlen wird, ist die rechtliche Schuld das gleiche wie wenn die Daten in einer Umgebung ohne Vorschriften verloren geht?
...