სწრაფი პრაიმერი ფინანსური პროფესიონალებისთვის
მონაცემთა უსაფრთხოება ფინანსური მომსახურების ინდუსტრიაში შეშფოთების უმთავრესი საკითხია, რადგან მას უკავშირდება უზარმაზარი პოტენციური ფინანსური და რეპუტაციული ხარჯები. კიბერდანაშაული მიზნად ისახავს ფინანსურ ფირმებს.
შესაბამისად, ინფორმაციული უსაფრთხოების საკითხებზე ყურადღება უნდა მიექცეს არა მხოლოდ ინფორმაციული ტექნოლოგიების პერსონალის წევრებს, არამედ რისკების მართვისა და შესაბამისობის შემფასებელ პერსონალს, აგრეთვე საკონტრაქტო ორგანიზაციების წევრებს და მთავარ ფინანსურ ოფიცრებს.
უფრო მეტიც, ფინანსურ მენეჯმენტებთან დაკავშირებული სხვა პროფესიონალები უნდა იყვნენ ძირითადად მიმოიხილონ მონაცემთა უსაფრთხოების საკითხებზე, რაც ფინანსური ექსპოზიციის გათვალისწინებით.
ძირითადი მონაცემების უსაფრთხოების დარღვევების გაზრდის სიხშირე და ღირებულება, რაც გავლენას ახდენს ბანკების, საინვესტიციო ფირმების, ელექტრონული გადამცემების, საკრედიტო ბარათების ქსელების, საცალო სავაჭრო ობიექტების და სხვა პირების გავლენაზე, რაც ამ ფაქტს პრაქტიკულად შეუძლებელს ხდის ამ დღეებში.
მონაცემთა უსაფრთხოების საკითხები:
მონაცემთა უსაფრთხოება საკრედიტო ბარათებით და სადებეტო ბარათებით გადახდაზე მომუშავე კომპანიებისთვის, რომლებიც ითვალისწინებენ ელექტრონული გადამცემების არჩევის შესახებ დიდ ზრუნვას. ამ ბიზნესში ასობით კომპანია არსებობს, მაგრამ მხოლოდ სუბსიდირებულია შეფასებული PCI Compliant Payment Card Industry Security Standard საბჭოს მიერ. ძირითადი საკრედიტო ბარათის გამცემი (Visa, MasterCard და ა.შ.), როგორც წესი, ცდილობენ შეიძინონ კომპანიები მხოლოდ PCI-compliant payers- ის გამოყენებით.
მონაცემთა უსაფრთხოება საკრედიტო ბარათის და სადებეტო ბარათების გადამუშავების პუნქტთან დაკავშირებით, როგორიცაა სალაროებში, გაზის ტუმბებსა და ბანკომატებში, სულ უფრო მეტად არის კომპრომეტირებული და გართულებული სქემებით ბარათის ნომრისა და ქულების მოპარვა. ამ სქემების ბევრი გამოყენება იყენებს RFID ჩიპების საიდუმლო განთავსებას (რადიოსიხშირული საიდენტიფიკაციო ჩიპები) მონაცემების ქურდებების მიერ ამ ტერმინალებით ამგვარი მონაცემების "გაჩენა".
უშიშროების კომპანია ADT არის გამყიდველი, რომელიც სთავაზობს ანტი-სკიმ პროგრამას, რომელიც იწვევს შეტყობინებებს, როდესაც ამ ტიპის მონაცემები არღვევს. გარდა ამისა, კვალიფიციური უსაფრთხოების შემფასებელი (QSA) შეიძლება ჩაერთოს კვლევა კომპანიის მგრძნობელობის ამ სახის მონაცემთა უსაფრთხოების დარღვევები.
მონაცემთა უსაფრთხოების ხშირად დამოკიდებულია ფიზიკური უსაფრთხოების მონაცემთა ცენტრები. ეს მოიცავს იმის უზრუნველყოფას, რომ არაავტორიზებული პერსონალი ინახება. გარდა ამისა, უფლებამოსილ პერსონალს უფლება არა აქვს დაშორდეს სერვერების, ლაპტოპები, ფლეშ დრაივები, დისკების, ფირები, სტამბები და სხვ. ანალოგიურად, კონტროლი უნდა იყოს დაცული არასანქცირებული პერსონალის მიერ მგრძნობიარე ინფორმაციის ნახვისაგან, რომელიც არ არის საჭირო მათი მოვალეობების შესრულებისას.
თქვენი კომპანიის შენობის უსაფრთხოების ოქმებისა და პროცედურების გარდა, მონაცემთა დამუშავებისა და გადაცემის მომსახურების გარევაჭრების პრაქტიკა უნდა შემოწმდეს. მაგალითად, თუ მესამე მხარის ფირმა მასპინძლობს თქვენი კომპანიის ვებ-გვერდს, თქვენ უნდა იყოს შეშფოთებული მისი მონაცემთა უსაფრთხოების პროცედურების შესახებ. SAS-70 სერტიფიცირება არის საყოველთაო უსაფრთხოების პროცედურების ერთობლივი სტანდარტი შიდა ქსელებთან დაკავშირებით, რომელიც მოითხოვს საარბენ-ოქსლის აქტის მიერ საჯაროდ ჩატარებულ საინფორმაციო ტექნოლოგიების ფირმებს.
SSL- ის პროტოკოლების გამოყენება არის სენსიტიური მონაცემების უსაფრთხო მონაცემთა გადასაჭრელად, როგორიცაა საკრედიტო ბარათის ნომრების შეყვანა ტრანზაქციებისთვის.
ქსელის უსაფრთხოების საუკეთესო პრაქტიკა:
ქსელური უსაფრთხოების ძირითად ასპექტებს, რომლებიც გავლენას ახდენენ მონაცემთა უსაფრთხოებაზე, დაცულია ჰაკერების წინააღმდეგ და საიტების ან ქსელების დატბორვას. ორივე თქვენი შიდა საინფორმაციო ტექნოლოგიების ჯგუფი და თქვენი ინტერნეტ სერვისის პროვაიდერი (ISP) უნდა ჰქონდეთ სათანადო წინააღმდეგობები. ეს ასევე ეხება შეშფოთებას ვებ ჰოსტინგისა და გადახდის გადამამუშავებელი კომპანიების შესახებ. ყველა ეს გარევაჭარი უნდა აჩვენოს, თუ რა დაცვებს აქვთ.
კიდევ ერთხელ, საუკეთესო პრაქტიკა, რომელიც ახასიათებს თქვენი კომპანიის საკუთარი მონაცემთა ქსელების, მონაცემთა ცენტრების და მონაცემთა მართვის ერთნაირი პირობაა, რომ თქვენ უნდა დაადასტუროთ, რომ ყველა დამამუშავებელი დამუშავების, გადამხდელების დამუშავების, ქსელისა და ჰოსტინგის სერვისების გარეთ.
მესამე მხარის პროვაიდერთან ნებისმიერ კონტრაქტში შესვლამდე უნდა დაადგინოთ, რომ მას აქვს შესაბამისი მინიმალური სერთიფიკატები დამოუკიდებელი გარე ორგანოებისგან (როგორც ზემოთ აღინიშნა) და განახორციელოს საკუთარი გულმოდგინება, რომელსაც ხელმძღვანელობს თქვენი კომპანიის საკუთარი საინფორმაციო ტექნოლოგიების პერსონალი შესაბამისი უფლებამოსილების მქონე ან კვალიფიციური კონსულტანტების მიერ.
როგორც საბოლოო მოსაზრება, შესაძლებელია სადაზღვევო შეძენა მონაცემთა უსაფრთხოების დარღვევებთან დაკავშირებულ ხარჯებთან დაკავშირებით. ასეთი ხარჯები მოიცავს საკრედიტო ბარათის ქსელებში (როგორიცაა Visa და MasterCard) დაკისრებული ჯარიმები და ჯარიმები, როგორიცაა კრედიტებისა და სადებეტო ბარათების გაუქმებისთვის ბარათების გამცემი (ძირითადად ბანკები, საკრედიტო კავშირები და ფასიანი ქაღალდების ფირმები) , ახლის გამოშვება და ბარათის წევრების მიღება თქვენი კომპანიის მიერ გამოწვეული დარღვევების გამო, ხარჯები, რომლითაც ისინი შეეცდებიან დააბრუნონ თქვენს კომპანიაში.
ამგვარი დაზღვევის ზოგჯერ შესაძლებელია შემოთავაზებული საგადახდო წარმოების ფირმები, ისევე, როგორც სადაზღვევო კომპანიებიდან პირდაპირ. ასეთ პოლიტიკებზე ჯარიმა ბეჭდვა დეტალურად შეიძლება იყოს, ამიტომ ასეთი სადაზღვევო პოლისი მოითხოვს განსაკუთრებულ ზრუნვას.
ძირითადი წყარო: "Dodging მონაცემთა დარღვევები," Forbes , 7/18/2011.