Comissão Federal do Comércio dos EUA quer auditar certificadoras do PCI DSS

money-256319_640

Em um esforço para reduzir casos de vazamento de informações de cartões dos consumidores americanos, o FTC (sigla em inglês para Comissão Federal do Comércio) está solicitando informações detalhadas sobre o processo de validação da conformidade ao padrão PCI DSS desempenhado por nove empresas certificadoras, ou QSAs (Qualified Security Assessors).

As empresas têm até 45 dias para responder a perguntas detalhadas feitas pela Comissão que, com a ação, pretende investigar os processos de certificação, medindo a aderência deles com as regras da indústria.

O FTC quer saber, por exemplo, se as empresas já forneceram avaliações finais com base apenas em promessas de que seus clientes iriam corrigir problemas encontrados durante a fase de auditoria, ou se elas já atestaram a conformidade ao padrão PCI DSS apenas com base em entrevistas.

A Comissão suspeita que algum (ou alguns) dos QSAs possa estar realizando as avaliações de forma inadequada, ou simplesmente “carimbando” relatórios de auditoria.

Fonte: CSO Online