Rýchly základ pre finančných profesionálov
Bezpečnosť údajov je hlavným problémom v odvetví finančných služieb, pretože je spojený s obrovskými potenciálnymi finančnými nákladmi a nákladmi na reputáciu. Počítačová kriminalita zameraná na finančné spoločnosti stúpa.
V dôsledku toho by sa mala pozornosť venovať otázkam bezpečnosti údajov nielen členom personálu informačných technológií , ale aj personálu zodpovednému za riadenie rizík a dodržiavania predpisov , ako aj členom organizácií kontrolórov a hlavným finančným úradníkom.
Okrem toho odborníci v oblasti finančného riadenia v iných odvetviach musia byť v podstate oboznámení s témami v oblasti bezpečnosti údajov vzhľadom na finančné riziko.
Zvyšujúca sa frekvencia a náklady na závažné porušenia bezpečnosti údajov, ktoré postihujú banky, investičné spoločnosti, spracovatele elektronických platieb, siete kreditných kariet, maloobchodníkov a iné, robí túto oblasť, ktorej dôležitosť je v súčasnosti prakticky nemožné podceňovať.
Problémy s bezpečnosťou dát:
Zabezpečenie údajov pre spoločnosti, ktoré prijímajú platby prostredníctvom kreditných kariet a debetných kariet, vyžaduje veľa starostlivosti ohľadom výberu spracovateľov elektronických platieb. Existujú stovky spoločností v tejto oblasti podnikania, ale iba podskupina je hodnotená štandardom PCI Compliant od Rady pre štandardy pre platobné karty priemyslu. Najdôležitejší vydavatelia kreditných kariet (Visa, MasterCard atď.) Sa zvyčajne pokúšajú riadiť spoločnosti smerom k používaniu výhradne platobných procesorov kompatibilných s PCI.
Bezpečnosť údajov týkajúcich sa spracovania kreditných kariet predajných miest a debetných kariet, ako napríklad v pokladniciach, plynových čerpadlách a bankomatoch, je čoraz viac ohrozovaná a komplikovaná schémami na ukradnutie čísel kariet a kódov PIN. Mnohé z týchto schém využívajú tajné umiestňovanie čipov RFID (rádiofrekvenčné identifikačné čipy) zlodejmi údajov na týchto termináloch, aby tieto údaje "vynechali".
Bezpečnostná spoločnosť ADT je predajca, ktorý ponúka softvér Anti-Skim, ktorý spúšťa upozornenia pri zistení porušenia tohto druhu. Navyše môže byť zapojený kvalifikovaný posudzovateľ bezpečnosti (QSA), aby vykonal prieskum o vnímavosti spoločnosti voči týmto druhom porušenia bezpečnosti údajov.
Bezpečnosť údajov často závisí od fyzickej bezpečnosti dátových centier. To znamená zaistiť, aby boli neoprávnené osoby držané von. Okrem toho nemôžu autorizovaní pracovníci odstrániť servery, notebooky, flash disky, disky, pásky, výtlačky atď., Ktoré obsahujú citlivé informácie z miest spoločnosti. Podobne by mali byť zavedené kontroly, aby sa zabránilo neoprávneným osobám v prezeraní citlivých informácií, ktoré nie sú potrebné pri výkone ich povinností.
Okrem bezpečnostných protokolov a postupov v priestoroch vašej spoločnosti je potrebné preskúmať postupy externých dodávateľov služieb spracovania a prenosu dát. Ak napríklad firma tretej strany hostí webovú stránku vašej spoločnosti, musíte sa obávať jej postupov zabezpečenia údajov. Certifikácia SAS-70 je spoločným štandardom pre adekvátne bezpečnostné postupy týkajúce sa interných sietí, ktoré vyžaduje zákon Sarbanes-Oxley pre verejne prevádzkované spoločnosti pre informačné technológie.
Použitie protokolov SSL je štandard pre bezpečné online spracovanie citlivých údajov, ako je napríklad vloženie čísel kreditných kariet do platobných transakcií.
Najlepšie postupy zabezpečenia siete:
Kľúčovými aspektmi zabezpečenia siete, ktoré majú vplyv na bezpečnosť dát, sú ochrana proti hackerom a zaplavenie webových stránok alebo sietí. Skupina vnútropodnikových informačných technológií a váš poskytovateľ internetových služieb (ISP) musia mať príslušné protiopatrenia. Je to tiež otázka týkajúca sa webhostingu a spoločností poskytujúcich spracovanie platieb. Všetci títo externí dodávatelia musia preukázať, aké chránenia majú.
Opäť najlepšie postupy, ktoré charakterizujú vlastné dátové siete, dátové centrá a správu dát vašej vlastnej spoločnosti, sú tie isté, ktoré by ste mali potvrdiť na všetkých externých dodávateľoch spracovania dát, spracovania platieb, vytvárania sietí a webových služieb.
Pred uzatvorením akejkoľvek zmluvy s poskytovateľom tretej strany by ste mali zistiť, či má od nezávislých externých orgánov príslušné minimálne certifikácie (ako je uvedené vyššie) a vykonať vašu vlastnú due diligence vedenú buď vlastným zamestnancom informačnej technológie vašej spoločnosti s príslušnými oprávneniami alebo kvalifikovanými externými konzultantmi.
Ako konečné zváženie je možné zakúpiť poistenie proti nákladom spojeným s narušením bezpečnosti údajov. Takéto náklady zahŕňajú pokuty a pokuty uložené sieťami kreditných kariet (ako sú Visa a MasterCard) za takéto zlyhania, ako aj výdavky, ktoré ukladajú emitentom kariet (hlavne bankám, úverovým združeniam a spoločnostiam s cennými papiermi) na zrušenie kreditných a debetných kariet , vydaním nových a vytvorením členov kariet v dôsledku narušení spôsobených vašou spoločnosťou, náklady, ktoré sa budú pokúšať spätne účtovať vašej spoločnosti.
Takéto poistenie môžu niekedy ponúknuť firmy zaoberajúce sa spracovaním platieb, ale aj priamo od poisťovní. Pekný výtlačok o takýchto pravidlách môže byť podrobný, takže nákup takéhoto poistenia si vyžaduje veľkú starostlivosť.
Hlavný zdroj: "Dodržiavanie údajov porušuje," Forbes , 18.7.2011.