Traditional third-party due diligence focuses on financial health, legal standing, and sanctions screening — but misses the human layer: who actually controls an entity, undisclosed affiliations, and background relationships. Using Qatar 2022 as a case study, opaque payment structures worth hundreds of millions went undetected by standard checks. For US companies, the FCPA holds organizations accountable for what they should have known, making 'we ran a sanctions screen' an insufficient defense. Human-layer due diligence requires analyst-led investigation into beneficial owners, government relationships, and behavioral signals across open sources — not just database lookups. Nisos positions itself as a provider of this intelligence layer for organizations evaluating third-party partnerships.
Nguồn: https://securityboulevard.com/2026/07/third-party-diligence-what-the-world-cup-reveals. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Penetration testing remains a widely purchased cybersecurity service, yet it suffers from deep inconsistency — two providers testing the same environment can produce vastly different results. Many organisations treat it as a compliance checkbox rather than a genuine security exercise, driven by cost and regulatory requirements rather than clear security objectives. The evolving complexity of modern environments (cloud, SaaS, supply chains) makes scoping even harder, and a passed pentest can create a false sense of security. The argument here is not that pentesting is dead, but that the industry needs to shift toward outcome-driven, contextual testing focused on realistic attack scenarios and acting on findings — rather than simply obtaining a report.
PCI DSS là tiêu chuẩn bảo mật dành cho doanh nghiệp chấp nhận thanh toán thẻ, giải thích ngắn gọn cho các SMEs tại Anh về đối tượng áp dụng, cách giảm phạm vi bằng cách hạn chế lưu trữ dữ liệu thẻ trong hệ thống nội bộ, cùng hướng dẫn về kiểm soát truy cập, cập nhật hệ thống, logging, lựa chọn nhà cung cấp bên thứ ba, lưu trữ hồ sơ và checklist tuân thủ hàng tháng. Bài viết cũng cảnh báo dấu hiệu hệ thống thanh toán phức tạp và khi nào cần nhờ hỗ trợ chuyên gia.
Lập trình viên nên đọc bài này để hiểu cách tối ưu hóa hệ thống xử lý thanh toán của doanh nghiệp nhỏ UK bằng cách giảm thiểu dữ liệu thẻ tín dụng trong hệ thống của mình, từ đó giảm rủi ro tuân thủ PCI DSS mà không cần phải xây dựng giải pháp phức tạp.
Seven common mistakes security leaders make when conducting cyber risk assessments, with expert advice on how to avoid them. Key pitfalls include treating assessments as checkbox exercises rather than decision tools, sugarcoating results to stakeholders, scoping assessments too narrowly (especially missing AI-connected systems), over-relying on risk registers without validating assumptions, failing to tie technical risks to business impact, confusing compliance with actual security, and treating risk assessment as a one-time vulnerability catalog rather than a continuous, context-driven process.

Trong tập podcast của BCG về Chương trình Tuân thủ, chuyên gia chiến lược an ninh mạng Matthew Rosenquist phân tích xu hướng tội phạm mạng năm 2026, nhấn mạnh sự bất cập của các phương pháp bảo mật truyền thống trước mối đe dọa mới, lợi thế cấu trúc của kẻ tấn công so với người phòng thủ, và vai trò ngày càng quan trọng của các tác nhân quốc gia trong việc định hình rủi ro an ninh mạng đối với lãnh đạo tuân thủ.
Lập trình viên nên đọc bài này để hiểu cách các mối đe dọa cyber mới như tấn công từ các nhóm nhà nước và sự thay đổi cơ chế chiến thuật của kẻ tấn công sẽ ảnh hưởng đến các giải pháp bảo mật cần thiết cho hệ thống phần mềm của bạn.
Data breach litigation is evolving beyond negligent security practices to include negligent incident response — specifically, delayed notification to affected individuals. Using the Bluepeak lawsuit as a case study, this piece examines how state and federal breach notification laws (Colorado, Florida, California, HIPAA, FTC Safeguards Rule, SEC) impose strict timelines, and how delayed disclosure has factored into major cases like Target, Yahoo, and Sony. While causation remains a legal hurdle for plaintiffs (proving delayed notice caused concrete harm), companies that delay notification face regulatory, reputational, and litigation risks regardless of courtroom outcomes. A mature incident response program should treat breach notification as a parallel workstream from day one, documenting every decision and timeline as if it will become a court exhibit.
Data sovereignty, residency, and localisation have become core architectural concerns for organisations operating across Africa and the EU. The post distinguishes between data residency (where data is physically stored), sovereignty (which laws govern it), and localisation (strict in-country requirements). It covers the EU's mature GDPR regime and Africa's fragmented but growing landscape of national data protection laws. Key risks of non-compliance include regulatory fines, operational disruption, vendor lock-in, and foreign government access. Practical architectural approaches include region-specific deployments, separated storage and processing layers, encryption with customer-managed keys, zero-trust access controls, and sovereignty-aware AI using federated learning. CIOs and CTOs are advised to map data flows, validate provider compliance, and run regular sovereignty impact assessments.
A detailed breakdown of whether AI-driven autonomous penetration testing can satisfy major compliance frameworks. Frameworks like GDPR, SOC 2, ISO 27001, NIS2, HIPAA, HITRUST, FTC Safeguards, and NYDFS accept autonomous pentesting — some explicitly favor continuous testing over annual snapshots. Frameworks like PCI DSS and FedRAMP require accredited human testers and will not accept autonomous results as the primary pentest. DORA accepts autonomous testing for its general program but not for TLPT. The analysis covers financial, healthcare, automotive, government, and European regulatory frameworks, with specific regulatory references for each verdict.
Rapid7's Corey Thomas and Sabeen Malik discuss how frontier AI and evolving compliance requirements are forcing a new security operating model. AI is accelerating vulnerability discovery faster than existing standards and governance frameworks can handle, creating noise rather than safety unless paired with exploitability context. Compliance is shifting from annual snapshots to continuous evidence collection. The future model is AI-driven but human-led, connecting security operations, risk management, and compliance through live operational context rather than disconnected reports.