Một Primer nhanh cho các chuyên gia tài chính
Bảo mật dữ liệu là một vấn đề quan tâm lớn trong ngành dịch vụ tài chính vì nó liên quan đến chi phí tài chính và uy tín tiềm năng rất lớn. Các công ty tài chính nhắm mục tiêu tội phạm đang gia tăng.
Theo đó, sự chú ý đến các vấn đề an ninh dữ liệu không chỉ liên quan đến các thành viên của nhân viên công nghệ thông tin mà còn cả nhân viên quản lý rủi ro và tuân thủ , cũng như các thành viên của tổ chức điều khiển và cán bộ tài chính.
Hơn nữa, các chuyên gia quản lý tài chính trong các ngành công nghiệp khác cần phải chủ yếu giao tiếp với các chủ đề về bảo mật dữ liệu, do phơi nhiễm tài chính.
Việc tăng tần suất và chi phí của các vi phạm an ninh dữ liệu lớn ảnh hưởng đến các ngân hàng, công ty đầu tư, xử lý thanh toán điện tử, mạng thẻ tín dụng, thương nhân bán lẻ và các công ty khác, khiến cho khu vực này trở nên quan trọng.
Vấn đề bảo mật dữ liệu:
Bảo mật dữ liệu cho các công ty chấp nhận thanh toán qua thẻ tín dụng và thẻ ghi nợ liên quan đến việc chăm sóc rất nhiều về việc lựa chọn bộ xử lý thanh toán điện tử. Có hàng trăm công ty trong ngành kinh doanh này, nhưng chỉ có một tập hợp con được xếp hạng PCI Compliant bởi Hội đồng Tiêu chuẩn An ninh Công nghiệp Thẻ thanh toán. Các nhà phát hành thẻ tín dụng lớn (Visa, MasterCard, vv) thường cố gắng hướng các công ty hướng tới việc chỉ sử dụng các bộ xử lý thanh toán tuân thủ PCI.
Bảo mật dữ liệu liên quan đến xử lý thẻ tín dụng và thẻ ghi nợ, chẳng hạn như máy tính tiền, máy bơm khí và máy ATM, ngày càng bị xâm phạm và phức tạp bởi các chương trình để lấy cắp số thẻ và mã PIN. Nhiều người trong số các đề án sử dụng vị trí bí mật của chip RFID (chip nhận dạng tần số vô tuyến) bởi kẻ trộm dữ liệu tại các thiết bị đầu cuối này để "lướt qua" dữ liệu đó.
Công ty bảo mật ADT là nhà cung cấp cung cấp phần mềm Anti-Skim, sẽ kích hoạt cảnh báo khi phát hiện thấy vi phạm dữ liệu của loại này. Ngoài ra, một Assessor Security Assessor (QSA) có thể được tham gia để tiến hành một cuộc khảo sát về tính nhạy cảm của công ty đối với các loại vi phạm an ninh dữ liệu này.
Bảo mật dữ liệu thường phụ thuộc vào bảo mật vật lý tại các trung tâm dữ liệu. Điều này liên quan đến việc đảm bảo rằng nhân viên trái phép được lưu giữ. Ngoài ra, nhân viên được ủy quyền không thể được phép xóa máy chủ, máy tính xách tay, ổ đĩa flash, đĩa, băng, bản in, v.v., chứa thông tin nhạy cảm từ vị trí công ty. Tương tự như vậy, các biện pháp kiểm soát cần được thực hiện để bảo vệ chống lại việc xem các thông tin nhạy cảm của nhân viên trái phép mà không cần thiết trong việc thực hiện nhiệm vụ của họ.
Ngoài các giao thức và thủ tục bảo mật trên cơ sở của công ty bạn, các thực tiễn của các nhà cung cấp dịch vụ xử lý dữ liệu và truyền dẫn bên ngoài phải được xem xét kỹ lưỡng. Ví dụ: nếu một công ty bên thứ ba lưu trữ trang web của công ty bạn, bạn phải quan tâm đến các quy trình bảo mật dữ liệu của công ty. Chứng nhận SAS-70 là tiêu chuẩn chung cho các quy trình bảo mật đầy đủ liên quan đến mạng nội bộ, theo yêu cầu của Đạo luật Sarbanes-Oxley cho các công ty công nghệ thông tin được tổ chức công khai.
Sử dụng giao thức SSL là tiêu chuẩn để xử lý dữ liệu nhạy cảm một cách an toàn trực tuyến, chẳng hạn như đầu vào của số thẻ tín dụng trong thanh toán cho giao dịch.
Thực tiễn tốt nhất về bảo mật mạng:
Các khía cạnh chính của an ninh mạng có tác động đến bảo mật dữ liệu là bảo vệ chống lại tin tặc và lũ lụt của các trang web hoặc mạng. Cả nhóm công nghệ thông tin trong nhà và nhà cung cấp dịch vụ Internet (ISP) của bạn đều phải có biện pháp đối phó thích hợp. Đây cũng là vấn đề đáng lo ngại về các công ty lưu trữ web và xử lý thanh toán. Tất cả các nhà cung cấp bên ngoài phải chứng minh những gì họ có.
Một lần nữa, các phương pháp hay nhất để mô tả mạng dữ liệu, trung tâm dữ liệu và quản lý dữ liệu của chính công ty bạn cũng giống như các nhà cung cấp bên ngoài xử lý dữ liệu, xử lý thanh toán, kết nối mạng và dịch vụ lưu trữ trang web.
Trước khi ký hợp đồng với nhà cung cấp bên thứ ba, bạn nên chắc chắn rằng nó có chứng nhận tối thiểu thích hợp từ các cơ quan độc lập bên ngoài (như đã nêu ở trên) và tiến hành thẩm định của riêng bạn, hoặc bởi nhân viên công nghệ thông tin của công ty bạn hoặc bởi các chuyên gia tư vấn bên ngoài đủ điều kiện.
Như một xem xét cuối cùng, có thể mua bảo hiểm chống lại các chi phí liên quan đến vi phạm an ninh dữ liệu. Các chi phí này bao gồm tiền phạt và tiền phạt do các mạng thẻ tín dụng (như Visa và MasterCard) áp dụng cho các lỗi như vậy, cũng như các chi phí mà họ áp đặt trên các tổ chức phát hành thẻ (chủ yếu là ngân hàng, công đoàn tín dụng và công ty chứng khoán). , phát hành thẻ mới và làm thành viên thẻ toàn bộ do vi phạm gây ra bởi công ty bạn, chi phí do đó họ sẽ cố gắng tính phí lại cho công ty của bạn.
Bảo hiểm đôi khi có thể được cung cấp bởi các công ty xử lý thanh toán, cũng như có sẵn từ các công ty bảo hiểm trực tiếp. Bản in đẹp trên các chính sách như vậy có thể được chi tiết, vì vậy việc mua bảo hiểm đó đòi hỏi rất nhiều sự chăm sóc.
Nguồn chính: "Dodging Vi phạm dữ liệu," Forbes , ngày 18 tháng 7 năm 2011.