没发现瑕疵发给客户PCI DSS认证，资安公司Trustwave遭保险业者提告

两家保险业者Lexington Insurance与Beazley Insurance最近翻出10年前的旧账，于上个月底控告资安业者Trustwave在2007与2008年时因未发现金融交易系统Heartland Payment Systems的缺陷，而让Heartland遭到骇客入侵，应该赔偿Lexington与Beazley当时的损失。

Heartland替美国饭店、酒店与零售业处理信用卡、薪水与各种支付服务，在2008年遭到骇客入侵，有超过650家客户存放在该平台的逾1.3亿张支付卡资料外泄，随后Heartland陆续支付了1.48亿美元来摆平诉讼案或与客户和解，至于Lexington与Beazley则是Heartland的保险公司，分别承担了2,000万与1,000万美元的金额。

不过，Lexington与Beazley在上周控告Trustwave在稽核Heartland平台时，并未察觉Heartland平台上所出现的两起恶意活动，还在2007年与2008年核发了PCI DSS认证予Heartland。PCI DSS的全名为支付卡产业资料安全标准（Payment Card Industry Data Security Standard），是为了减少信用卡诈骗案而建立的标准，业者必须先符合该标准才能处理信用卡资料。

此外，Visa在调查Heartland的资料外泄事件时亦发现Heartland违反了PCI DSS的多项规定，包括没有架设防火墙、使用业者所提供的密码、未针对存取系统的用户分配独特的识别标签，以及对于存放信用卡资料的系统缺乏足够的保护等。此一调查结果让这两家保险公司认定Trustwave应该要负责赔偿它们的损失。

Trustwave则反驳，纵使该公司负责评估Heartland的PCI DSS合规与否，但并没有保证Heartland不会遭到骇客入侵，Trustwave没有负责管理Heartland的资讯安全，同时Heartland也未向Trustwave抱怨或提出索赔。

资安新闻网站Dark Reading引用Leo Cyber Security技术长Andrew Hay的看法指出，这起诉讼案对资安业者来说是个坏消息，将对提供安全服务的业者带来危险先例，还可预见会有愈来愈多的资安业者投保资安险来预防类似的诉讼。