CIBERSEGURIDAD

El director ejecutivo de Trustwave refuta las “acusaciones infundadas” legales

Trustwave ha dicho que los reclamos legales con respecto a su participación en la violación de Target no tienen fundamento.

Según un comunicado al corriente en línea por el director ejecutivo Robert McCullen, la compañía dijo que espera “defendernos enérgicamente en los tribunales contra estas acusaciones infundadas”.

Dijo: “Como algunos de ustedes sabrán, Trustwave fue nombrado recientemente como demandado en demandas relacionadas con la violación de seguridad de datos que afectó a las tiendas Target a fines de 2013.

“Contrariamente a las acusaciones erróneas en las quejas de los demandantes, Target no subcontrató sus obligaciones de seguridad de datos u TI a Trustwave. Trustwave no supervisó la red de Target, ni tampoco procesó los datos del titular de la tarjeta para Target. Nuestros clientes y socios comerciales pueden seguir esperando la calidad y el servicio dedicado que Trustwave les ha brindado durante casi 20 años ”.

La queja apareció la semana pasada, alegando que Target y Trustwave fallaron en sus deberes con 110 millones de clientes, y como Target subcontrató sus obligaciones de seguridad de datos a Trustwave, el fallo declaró que esto “no logró que los sistemas de Target estuvieran a la altura de los estándares de la industria”.

El que cumplió dijo que Trustwave escaneó los sistemas Target en septiembre de 2013 y les dijo que no había vulnerabilidades en sus sistemas informáticos. Sin embargo, los informes encontraron que Target mantuvo los datos de las tarjetas de crédito y débito en sus servidores durante seis días completos antes de que los piratas informáticos transmitieran los datos a un servidor web separado fuera de la red de Target debido a vulnerabilidades en sus sistemas de seguridad que “no fueron detectadas o ignoradas por Trustwave”.

También dijo que Trustwave proporcionó servicios de monitoreo las 24 horas del día a Target, cuyo objetivo era detectar intrusiones en los sistemas de Target y compromisos de PII u otros datos confidenciales. Sin embargo, la violación de datos continuó durante casi tres semanas bajo la supervisión de Trustwave.

Los bancos que iniciaron la acción alegan que perdieron dinero al alertar a los clientes sobre la infracción, reembolsar cargos fraudulentos y reemitir tarjetas. Esas pérdidas podrían aumentar si los delincuentes finalmente usan varios millones de tarjetas robadas como proyecto de algún analista, según Reuters.

Si bien la demanda busca daños no especificados de al menos $ 5 millones, Trustmark con sede en Nueva York y Green Bank con sede en Houston dijeron que las pérdidas podrían superar los $ 1 mil millones para los emisores de tarjetas que esperan representar en una demanda colectiva, y $ 18 mil millones para bancos y minoristas combinados.

Al comentar, Ilia Kolochenko, directora ejecutiva de High-Tech Bridge, dijo: “Este es un caso muy interesante en realidad, ya que no es solo la víctima [Target] que está siendo demandado por negligencia, sino también a su auditor de seguridad de TI. No creo que podamos acusar a Trustwave de ser responsable de la violación de datos, ya que estaban realizando pruebas de seguridad y auditorías de acuerdo con el estándar PCI DSS (al menos esto es lo que se dice).

“Hace varios años, notifiqué al PCI Council sobre vulnerabilidades (incluida una crítica) en su propio sitio web. Obviamente, el estándar PCI DSS está mejorando continuamente, pero creo que prácticamente hablando todavía está lejos de ser perfecto hoy en día. Esta es la razón por la que cuando un cliente solicita a una empresa de seguridad que realice solo una auditoría estándar de PCI DSS; no podemos culpar a la empresa de seguridad “.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar
Cerrar