מקרה חדש עשוי לקבוע תקדים לחברות הכורעות תחת נטל דרישות תקן ה-PCI. בתביעה נאמר כי ספקית התוכנה והחברה המפיצה אותה מכרו למסעדות תוכנה בלתי מאובטחת ואשר אינה תואמת לתקן ה-PCI.

הדבר איפשר להאקרים רומניים להתחבר מרחוק לרשת המיחשוב של המסעדות ולהתקין תוכנה זדונית אשר איפשרה להם לגנוב מספרי כרטיסי אשראי של לקוחות החברה. סכום התביעה עומד על מספר מיליוני דולרים, אשר חלקם מיועדים לכסות את הקנס אשר הושת על שבע המסעדות ע"י חברת ויזה עקב הפריצה.

תביעה מסוג זה הינה נדירה. פרשנים משפטיים מעריכים כי התביעה תידחה בשל החוזה בין הספק לרשת המסעדות אשר ככל הנראה מעניק חסינות לספקית התוכנה מפני אחריות כלשהי לפריצה. זאת בעיקר בשל העובדה שלרשות חברות התוכנה עומדים יועצים בכירים אשר דואגים לעגן הגנות משפטיות מפני אחריות כלשהי בחוזה המכירה.

ייעוץ מסוג זה לא עומד לרשות חברות קטנות אשר במרבית המקרים גם אינן יודעות לשאול את "השאלות הנכונות". "אתה חייב להיות מומחה אבטחה לצורך כך", אומר דייב הוגאן, CIO בחברת המסחר National Retail Federation. הוגאן, מבקר גלוי וישיר של ה-PCI, מעוניין שהטכנולוגיה תיתן את המענה ההולם, אך מבלי להעמיס עוד על בעלי העסקים.

דיאנה קלי, ה-Founder של חברת הייעוץ Security Curve, אמרה כי היא מבינה את הצד של המסעדות הטוענות כי ויזה הזהירה את ספקית התוכנה עוד באפריל 2007 כי הפתרון אינו תואם לתקן. המזללות טענו כי הן מעולם לא היו מודעות לאזהרה; על טענה זו אומרת קלי כי הן עדיין חייבות היו לבצע את ה-PCI Assessment. מילוי שאלון ההערכה העצמית (SAQ) היה מביא לגילוי פער האבטחה.

"כעת זה נתון להכרעת בית המשפט בשאלת האחריות", היא אומרת, "זה באמת עשוי לשנות את מצב הדברים מכאן והלאה".

לידיעה המלאה - http://www.scmagazineus.com/pci-merchants-take-on-providers/article/160022/

ידיעה נוספת - http://www.scmagazineus.com/breached-restaurateurs-suing-point-of-sale-provider/article/158892/