Rychlý nátěr pro finanční odborníky
Bezpečnost dat je hlavním problémem v odvětví finančních služeb, protože je spojena s obrovskými potenciálními finančními a reputačními náklady. Počítačová kriminalita zaměřená na finanční firmy je na vzestupu.
V souladu s tím by měla být věnována pozornost otázkám bezpečnosti údajů nejen členové personálu informačních technologií , ale i pracovníci v oblasti řízení rizik a dodržování předpisů , jakož i členové kontrolních organizací a hlavní finanční úředníci.
Navíc odborníci v oblasti finančního řízení v jiných odvětvích musí být v zásadě obeznámeni s otázkami bezpečnosti dat vzhledem k finančním účinkům.
Zvýšená četnost a náklady na závažné narušení bezpečnosti dat, které postihují banky, investiční firmy, procesory elektronických plateb, sítě kreditních karet, maloobchodní prodejce a další, činí z této oblasti oblast, jejíž význam je v dnešní době prakticky nemožný.
Problémy se zabezpečením dat:
Zabezpečení dat pro společnosti, které přijímají platby prostřednictvím platebních karet a kreditních karet, vyžaduje velkou péči ohledně volby procesorů elektronických plateb. V této oblasti podnikání existují stovky společností, ale pouze podskupina je označena standardem PCI Compliant Standardní rada pro platební karty. Hlavní vydavatelé platebních karet (Visa, MasterCard atd.) Se obvykle pokoušejí řídit společnosti k používání pouze platebních procesorů kompatibilních s PCI.
Zabezpečení dat týkajících se zpracování kreditních karet a zpracování platebních karet v místě prodeje, jako jsou pokladny, plynové pumpy a bankomaty, je stále více ohrožováno a komplikováno schématy k ukradnutí čísel karet a PINů. Mnoho z těchto programů využívá tajné umístění čipů RFID (radiofrekvenční identifikační čipy) datovými zloději na těchto terminálech, aby tyto údaje "vynechali".
Bezpečnostní společnost ADT je dodavatel, který nabízí software Anti-Skim, který spouští výstrahy, když jsou zjištěny poruchy tohoto druhu. Navíc může být zapojen kvalifikovaný bezpečnostní posuzovatel (QSA), který provádí průzkum týkající se náchylnosti společnosti k těmto druhům narušení bezpečnosti dat.
Bezpečnost dat často závisí na fyzické bezpečnosti datových center. To znamená zajistit, aby byl neoprávněný personál držen ven. Kromě toho nelze oprávněným pracovníkům odebírat servery, notebooky, flash disky, disky, pásky, výtisky apod., Které obsahují citlivé informace z firemních lokalit. Stejně tak by měla být zavedena kontrola, aby nedocházelo k nepovolanému personálu, aby si prohlížel citlivé informace, které nejsou potřebné při plnění svých povinností.
Vedle bezpečnostních protokolů a postupů v prostorách vaší společnosti je třeba pečlivě ověřit postupy externích prodejců služeb zpracování a přenosu dat. Pokud například firma třetí strany hostí webovou stránku vaší společnosti, musíte se obávat jejích postupů zabezpečení dat. Certifikace SAS-70 je společným standardem pro adekvátní bezpečnostní postupy týkající se interních sítí, které požaduje Sarbanes-Oxley Act pro veřejné společnosti zabývající se informačními technologiemi.
Použití protokolů SSL je standardem pro bezpečné online zacházení s citlivými daty, jako je například zadání čísel kreditních karet do plateb za transakce.
Osvědčené postupy zabezpečení sítě:
Klíčové aspekty zabezpečení sítě, které mají vliv na bezpečnost dat, jsou ochrana proti hackerům a zaplavení webových stránek nebo sítí. Jak vaši vlastní skupina informačních technologií, tak i poskytovatel internetových služeb (ISP) musí mít příslušná protiopatření. To je také záležitost, která se týká webhostingu a společností zabývajících se zpracováním plateb. Všichni tito externí prodejci musí prokázat, jaké ochrany mají.
Opět platí, že osvědčené postupy, které charakterizují vlastní datové sítě, datová centra a správu dat vlastní společnosti, jsou tytéž, které byste měli potvrdit u všech externích dodavatelů zpracování dat, zpracování plateb, vytváření sítí a webových služeb.
Než uzavřete smlouvu s poskytovatelem třetí strany, měli byste se ujistit, že má od nezávislých externích subjektů odpovídající minimální osvědčení (jak je uvedeno výše) a provést vlastní due diligence vedenou buď vlastním personálem informační společnosti vaší společnosti s odpovídajícími pověřeními nebo kvalifikovanými externími konzultanty.
Jako konečné zvážení je možné zakoupit pojištění proti nákladům spojeným s narušením bezpečnosti dat. Takové náklady zahrnují pokuty a penále vybírané ze sítí kreditních karet (jako jsou Visa a MasterCard) za takové poruchy, stejně jako náklady, které emitentům (zejména bank, úvěrových družstev a obchodníků s cennými papíry) ukládají za zrušení platebních a debetních karet , vydáváte nové a udělujete členům karty celistvé kvůli porušením způsobeným vaší společností, náklady, které se budou pokoušet vrátit zpět vaší společnosti.
Takové pojištění může být někdy nabízeno i firmami, které zpracovávají platby, a také přímo od pojišťoven. Pečlivé vytištění těchto zásad může být podrobně popsáno, takže nákup takového pojištění vyžaduje velkou péči.
Hlavní zdroj: "Dodržování porušování dat", Forbes , 18.7.2011.