Как предотвратить нарушения данных с защитой данных

Защита данных является одной из основных проблем, волнующих отрасль финансовых услуг, поскольку она связана с огромными потенциальными финансовыми и репутационными издержками. Киберпреступность, нацеленная на финансовые фирмы, растет.

Соответственно, внимание к вопросам безопасности данных должно включать не только сотрудников персонала информационных технологий, но и персонал по управлению рисками и соблюдению, а также членов контрольных организаций и главных финансовых сотрудников.

Кроме того, специалисты по финансовому управлению в других отраслях должны быть в основном знакомы с темами безопасности данных, учитывая финансовые риски.

Возрастающая частота и стоимость серьезных нарушений безопасности данных, которые влияют на банки, инвестиционные фирмы, электронные платежные системы, сети кредитных карт, розничные торговцы и другие, делают эту область, значение которой практически невозможно недооценивать в наши дни.

Проблемы безопасности данных:

Защита данных для компаний, которые принимают платежи через кредитные карты и дебетовые карты, предполагает большую осторожность в отношении выбора электронных платежных процессоров. В этой сфере бизнеса есть сотни компаний, но только подмножество соответствует стандарту PCI Compliant стандартным Советом по безопасности промышленной безопасности платежных карт. Крупные эмитенты кредитных карт (Visa, MasterCard и т. Д.) Обычно пытаются заставить компании использовать только платежные процессоры, совместимые с PCI.

Защита данных в отношении обработки кредитных карт и дебетовых карт в точках продажи, например, в кассовых аппаратах, газовых насосах и банкоматах, все чаще подвергается риску и осложняется схемами кражи номеров и PIN-кодов. Многие из этих схем используют секретное размещение микросхем RFID (чипов идентификации радиочастот) ворами данных на этих терминалах, чтобы «обезвредить» такие данные.

Компания безопасности ADT является поставщиком, который предлагает программное обеспечение Anti-Skim, которое запускает предупреждения, когда обнаружены нарушения данных такого рода. Кроме того, может быть привлечен квалифицированный специалист по безопасности (QSA) для проведения опроса о восприимчивости компании к таким нарушениям безопасности данных.

Защита данных часто зависит от физической безопасности в центрах обработки данных. Это включает в себя обеспечение того, чтобы неавторизованный персонал не использовался. Кроме того, авторизованный персонал не может удалять серверы, ноутбуки, флешки, диски, ленты, распечатки и т. Д., Содержащие конфиденциальную информацию из местоположений компаний. Аналогичным образом, должны быть предусмотрены меры контроля, чтобы следить за тем, чтобы неавторизованный персонал не просматривал конфиденциальную информацию, которая не нужна при исполнении своих обязанностей.

Помимо протоколов и процедур безопасности в помещениях вашей компании, необходимо внимательно изучить практику сторонних поставщиков услуг по обработке и передаче данных.Например, если сторонняя фирма размещает веб-сайт вашей компании, вы должны быть обеспокоены ее процедурами безопасности данных. Сертификация SAS-70 является общепринятым стандартом для адекватных процедур обеспечения безопасности в отношении внутренних сетей, требуемых Законом Сарбейнса-Оксли для публичных фирм в области информационных технологий.

Использование SSL-протоколов - это стандарт для безопасного доступа к конфиденциальным данным в Интернете, например, ввод номеров кредитных карт в оплату транзакций.

Наилучшая практика сетевой безопасности:

Ключевые аспекты сетевой безопасности, которые влияют на безопасность данных, - это защита от хакеров и наводнение веб-сайтов или сетей. Как ваша собственная группа информационных технологий, так и ваш интернет-провайдер (ISP) должны иметь соответствующие контрмеры. Это также вызывает озабоченность в отношении веб-хостинга и компаний по обработке платежей. Все эти сторонние поставщики должны продемонстрировать, какие меры защиты они имеют.

Опять же, лучшие практики, которые характеризуют собственные сети передачи данных, центры обработки данных и управление данными вашей компании, являются теми же, которые вы должны подтвердить, на всех внешних поставщиков обработки данных, обработки платежей, сетевых услуг и услуг хостинга веб-сайтов ,

Прежде чем заключать какой-либо договор с сторонним провайдером, вы должны убедиться, что он имеет соответствующие минимальные сертификаты от независимых внешних органов (как указано выше) и проводит свою собственную должную осмотрительность, проводимую либо персоналом вашей информационной компании вашей компании, соответствующими полномочиями или квалифицированными внешними консультантами.

В качестве окончательного решения можно приобрести страхование от расходов, связанных с нарушениями безопасности данных. К таким расходам относятся штрафы и штрафы, взимаемые сетями кредитных карт (например, Visa и MasterCard) за такие сбои, а также расходы, которые они налагают на эмитентов карт (в основном банки, кредитные союзы и фирмы по ценным бумагам) на отмену кредитных и дебетовых карт , выдавая новые и делая членов карты целыми из-за нарушений, вызванных вашей компанией, расходов, которые они таким образом попытаются вернуть обратно вашей компании.

Такое страхование иногда может предлагаться фирмами по обработке платежей, а также напрямую из страховых компаний. Прекрасная печать на таких политиках может быть детализирована, поэтому покупка такого страхования требует большой осторожности.

_{Основной источник: «Уклонение от утери данных», Forbes , 7/18/2011.}