Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 9/6/2009
En amerikansk bank, der mistede penge, fordi et betalingshåndteringsfirma ikke havde styr på sikkerheden, har anlagt erstatningssag mod det firma, der havde sagt god for sikkerheden.Sagen handler om firmaet CardSystems, der i 2004 mistede fortrolige data om over 40 millioner betalingskort. Oplysningerne blev opbevaret uden kryptering. Hackere installerede snifferprogrammer, der opsnappede dataene og sendte dem til dem. Sagen blev først opdaget i maj 2005.
Merrick Bank var en af de banker, der lod CardSystems håndtere betalinger med betalingskort for sine kunder. Banken anslår, at den har tabt 16 millioner dollars som følge af sikkerhedshændelsen.
Nu har Merrick Bank anlagt en erstatningssag. Ikke mod CardSystems, men mod firmaet Savvis. Det havde nemlig udstedt en certificering, som sagde, at CardSystems overholdt reglerne i Visas CISP (Cardholder Information Security Program).
Idet CardSystems både opbevarede fortrolige oplysninger og gjorde det ukrypteret, overholdt firmaet ikke CISCP-reglerne.
Sagen ventes at få principiel betydning. Hvis Savvis kan holdes ansvarlig for, at CardSystems ikke fulgte reglerne i CISP, kan det få konsekvenser for andre firmaer, der udsteder certificeringer af sikkerheden.