<div dir="ltr">Totally agree.<div><br></div><div>For reference, here's the relevant PCI DSS (version 2) text:</div><div><br></div><div>Requirement:</div><div><div>12.7 Screen potential personnel prior to </div><div>hire to minimize the risk of attacks from </div>
<div>internal sources. (Examples of </div><div>background checks include previous </div><div>employment history, criminal record, </div><div>credit history, and reference checks.) </div><div>Note: For those potential personnel to </div>
<div>be hired for certain positions such as </div><div>store cashiers who only have access to </div><div>one card number at a time when </div><div>facilitating a transaction, this requirement </div><div>is a recommendation only. </div>
</div><div><br></div><div>Testing Procedures:<br></div><div><div>12.7 Inquire with Human Resource department management and </div><div>verify that background checks are conducted (within the constraints </div><div>of local laws) on potential personnel prior to hire who will have </div>
<div>access to cardholder data or the cardholder data environment. </div></div><div><br></div><div><br></div><div><br></div><div>Cheers,</div><div>-Dana</div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Fri, Jan 3, 2014 at 10:02 AM, Uri Guttman <span dir="ltr"><<a href="mailto:uri@stemsystems.com" target="_blank">uri@stemsystems.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On 01/03/2014 12:31 PM, Dana Diederich wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I suspect PCI certification comes into play as well.  'devops' people hold<br>
the keys to the kingdom, and PCI/DSS has specific language about people who<br>
have such high-level access having to pass background checks.<br>
<br>
It's one of those things that seems like a good idea on the surface, but is<br>
in reality not such a good thing in most cases.<br>
</blockquote>
<br></div>
a background criminal check is one thing and i understand it. a credit check is a very different animal and i don't see how it can make a difference. the worst case i see is someone in massive debt taking a job where he could embezzle money or sell stuff to nasty people. well, that means your internal security is bad anyway.<div class="HOEnZb">
<div class="h5"><br>
<br>
uri<br>
<br>
-- <br>
Uri Guttman - The Perl Hunter<br>
The Best Perl Jobs, The Best Perl Hackers<br>
<a href="http://PerlHunter.com" target="_blank">http://PerlHunter.com</a><br>
______________________________<u></u>_________________<br>
SanFrancisco-pm mailing list<br>
<a href="mailto:SanFrancisco-pm@pm.org" target="_blank">SanFrancisco-pm@pm.org</a><br>
<a href="http://mail.pm.org/mailman/listinfo/sanfrancisco-pm" target="_blank">http://mail.pm.org/mailman/<u></u>listinfo/sanfrancisco-pm</a><br>
</div></div></blockquote></div><br></div>