[Segurança] Roubo na Target: sobrou até mesmo para os consultores

O roubo de dados na Target não pára de trazer notícias para a área de segurança...

Recentemente, em 24 de março, alguns dos bancos americanos afetados pelo roubo de dados de cartões de crédito da Target no final de 2013 entraram com um processo contra a empresa, visando resarcir os custos e as perdas por fraude que eles tiveram por causa do roubo de dados. A novidade é que estes bancos incluíram no processo a Trustwave Holdings Inc., a empresa de consultoria (QSA, de Qualified Security Assessor) contratada pela Target antes da invasão para certificar a Target dentro do padrão PCI/DSS (Payment Card Industry Data Security Standard).

Segundo o processo, a Trustwave falhou em manter a compliance da Target com o PCI e com outros padrões de segurança relacionados a proteção de dados e informações pessoais dos donos de cartão. Além do mais, os bancos acusam a Trustwave de falhar em garantir que a rede de PoS (os terminais de ponto de venda) e os demais sistemas da Target estavam seguros. Além de prover serviços de monitoração e detecção de intrusos para a Target, a Tustwave escaneou a rede da empresa em 20 de Setembro de 2013 e informou a Target que não haviam vulnerabilidades no ambiente. E a invasão na Target durou 3 semanas, apesar do monitoramento da Trustwave :(

Este caso pode trazer um precedente interessante para a indústria de segurança: o consultor e a empresa que provê serviços terceirizados de segurança se co-responsabilizando pelos danos causados por uma invasão. Se este processo seguir adiante, isso pode afetar o mercado de consultoria, certificação e de prestação de serviços de segurança, principalmente as empresas que oferecem serviços de gerenciamento de segurança (também chamado de MSS, de Managed Security Services).