Quick Primer rahoitusalan ammattilaisille
Tietoturva on tärkeä huolenaihe rahoituspalvelualalla, koska siihen liittyy valtavia potentiaalisia taloudellisia ja maineikkaita kustannuksia. Rahoitusalan yrityksille kohdistettu tietoverkkorikollisuus on kasvussa.
Tietoturva-asioihin olisi kiinnitettävä huomiota paitsi tietotekniikan henkilöstön jäseniin myös riskienhallintaan ja valvontaan erikoistuneeseen henkilöstöön sekä valvontaelinten jäseniin ja talousjohtajiin.
Lisäksi taloudenhoidon ammattilaiset muilla aloilla tarvitsevat pohjimmiltaan tietoa tietoturvan aiheista, kun otetaan huomioon rahoitusriskeistä.
Suurten tietoturvallisuuden rikkomusten lisääntyvät taajuudet ja kustannukset, jotka vaikuttavat pankkeihin, sijoituspalveluyrityksiin, sähköisiin maksuprosesseihin, luottokorttiverkkoihin, vähittäiskauppiaisiin ja muihin, tekevät tästä alueesta, jonka merkitys on nykyään mahdotonta aliarvioida.
Tietoturvaongelmat:
Tietoturva yrityksille, jotka hyväksyvät maksun luottokorttien ja pankkikorttien kautta, edellyttää suurta huolta sähköisten maksuprosessien valinnasta. Tällä liiketoiminta-alueella on satoja yrityksiä, mutta maksuliikennealan tietoturvavaliokunnan arvion mukaan vain osa-alue on luokiteltu PCI-vaatimusten mukaiseksi. Suurin luottokorttimyyjä (Visa, MasterCard jne.) Pyrkii yleensä ohjaamaan yrityksiä käyttämään vain PCI-yhteensopivia maksuprosessoreita.
Tietokannan luottokortin ja pankkikorttien käsittelyn, kuten kassakoneiden, kaasupumppujen ja pankkiautomaattien, tietoturva uhkaa yhä enemmän ja monimutkaistaa korttien numeroiden ja PIN-koodien varastamista. Monet näistä järjestelmistä hyödyntävät RFID-sirujen salaista sijoitusta (radiotaajuustunnistepiirejä) datan varkaille näissä päätelaitteissa "tällaisten tietojen" kuorimiseksi.
Turvallisuusyritys ADT on myyjä, joka tarjoaa Anti-Skim -ohjelmiston, joka käynnistää hälytyksiä, kun tällaisia tietorajoja havaitaan. Lisäksi kvalifioitu turvallisuusarvioija (QSA) voi osallistua tutkimaan yrityksen alttiutta tällaisille tietoturva-rikkomuksille.
Tietoturva riippuu usein datakeskusten fyysisestä turvallisuudesta. Tämä tarkoittaa sen varmistamista, että luvaton henkilöstö pysyy poissa. Lisäksi valtuutettu henkilöstö ei saa poistaa palvelimia, kannettavia tietokoneita, flash-asemia, levyjä, nauhoja, tulosteita jne., Jotka sisältävät arkaluonteisia tietoja yrityksen toimipisteistä. Vastaavasti olisi valvottava, että estetään luvattoman henkilöstön arkaluonteisten tietojen katselu, joita ei tarvita tehtäviensä suorittamisessa.
Tietojenkäsittely- ja tiedonsiirtopalvelujen ulkopuolisten toimittajien käytäntöjä on tarkasteltava yrityksesi tiloissa olevien tietoturvaprotokollien ja -menettelyjen lisäksi. Jos esimerkiksi kolmannen osapuolen yritys ylläpitää yrityksen verkkosivustoa, sinun on oltava huolissaan sen tietoturvamenettelyistä. SAS-70-sertifiointi on yhteinen standardi riittäville tietoturvamenettelyille sisäisissä verkoissa, joita Sarbanes-Oxley-lain edellytetään julkisesti pidettäville tietotekniikkayrityksille.
SSL-protokollien käyttö on standardi luottamuksellisten tietojen turvalliseen käsittelyyn verkossa, kuten maksutapahtumien luottokorttien numeron syöttäminen.
Verkkoturvan parhaat käytännöt:
Tietoturvallisuuteen vaikuttavat verkkoturvallisuuden keskeiset näkökohdat ovat suojaaminen hakkereilta ja verkkosivustojen tai verkkojen tulva. Sekä oman talotekniikkaryhmän että Internet-palveluntarjoajan (Internet-palveluntarjoajan) on oltava asianmukaiset vastatoimet. Tämä on myös huolenaihe web hosting- ja maksukäsittelyyrityksistä. Kaikkien näiden ulkopuolisten toimittajien on osoitettava, mitä suojauksia heillä on.
Jälleen parhaat käytännöt, jotka luonnehtivat oman yrityksen tietoverkkoja, datakeskuksia ja tietohallintoa, ovat samat, jotka sinun on vahvistettava, ovat käytössä kaikissa tietojenkäsittelyn, maksujen käsittelyn, verkostoitumisen ja verkkosivujen hosting-palveluiden ulkopuolella.
Ennen sopimuksen tekemistä kolmannen osapuolen tarjoajan kanssa sinun on varmistettava, että hänellä on edellä mainituilta riippumattomilta ulkopuolisilta organisaatioilta vaaditut vähimmäistodistukset ja hoitaa oman due diligence -ratkaisun, jonka johtavat joko oman yrityksen tietotekniikan henkilöstö, jolla on tarvittavat valtuutukset tai pätevien ulkopuolisten konsulttien kautta.
Lopullisena seikkana on mahdollista hankkia vakuutus tietosuojaa koskevien rikkomusten kustannuksiin. Tällaisiin kustannuksiin kuuluvat luottokorttiverkkojen (kuten Visa ja MasterCard) määrätyt sakot ja seuraamukset sekä niiden kulut, jotka ne asettavat kortinantajille (lähinnä pankkeille, luottolaitoksille ja arvopaperiyhtiöille) luotto- ja maksukorttien peruuttamiseksi , uusien korttien antaminen ja korttien koko jäsenten tekeminen yrityksen aiheuttamien rikkomusten takia, kustannukset, joita he yrittävät veloittaa takaisin yrityksellesi.
Tällaiset vakuutukset voivat joskus tarjota maksuprosessointiyrityksiä, ja ne ovat myös suoraan vakuutusyhtiöiltä. Näiden käytäntöjen hieno tulos voi olla yksityiskohtainen, joten tällaisten vakuutusten ostaminen vaatii paljon huolenpitoa.
Keskeinen lähde: "Tietojen rikkomusten poistaminen", Forbes , 18.7.2011.