金融專業人士快速入門
數據安全是金融服務行業關注的一個主要問題,因為它涉及巨大的潛在財務和聲譽成本。 針對金融公司的網絡犯罪正在上升。
因此,關注數據安全事宜不僅涉及信息技術人員,還涉及風險管理 和合規人員,以及控制組織和首席財務官的成員。
此外,考慮到財務風險,其他行業的財務管理專業人士基本上應該熟悉數據安全方面的主題。
對銀行,投資公司,電子支付處理商,信用卡網絡,零售商等影響較大的數據安全違規行為的頻率和成本越來越高,這使得這一領域的重要性幾乎不可能低估這些日子。
數據安全問題:
接受通過信用卡和借記卡付款的公司的數據安全性涉及對電子支付處理器的選擇非常關心。 該業務領域有數百家公司,但只有一個子集被支付卡行業安全標準委員會評為PCI兼容。 主要信用卡發卡機構(Visa,MasterCard等)通常試圖引導公司只使用PCI兼容的支付處理器。
關於銷售點信用卡和借記卡處理(如收銀機,加油泵和自動取款機)的數據安全性越來越受到盜竊卡號和個人識別碼方案的影響和復雜化。 這些方案中的許多方案利用這些終端處的數據竊賊秘密放置RFID芯片(射頻識別芯片)以“跳過”這些數據。
安全公司ADT是一家提供Anti-Skim軟件的供應商,該軟件在檢測到此類數據洩露時觸發警報。 此外,可聘請合格的安全評估師(QSA)對公司對這類數據安全漏洞的敏感性進行調查。
數據安全通常取決於數據中心的物理安全性。 這涉及確保未經授權的人員被關閉。 此外,授權人員不得從包含公司位置的敏感信息中刪除服務器,筆記本電腦,閃存驅動器,磁盤,磁帶,打印件等。 同樣,應制定管制措施,防止未經授權的人員查看履行職責時不需要的敏感信息。
除了貴公司的安全協議和程序之外,還必須仔細審查外部供應商的數據處理和傳輸服務的做法。 例如,如果第三方公司託管貴公司的網站,則必須關注其數據安全程序。 根據薩班斯 - 奧克斯利法案(Sarbanes-Oxley Act)的要求,SAS-70認證是內部網絡適當安全程序的通用標準,適用於上市信息技術公司。
使用SSL協議是安全在線處理敏感數據的標準,例如在交易付款時輸入信用卡號碼。
網絡安全最佳實踐:
對數據安全有影響的網絡安全的關鍵方面是對黑客和網站或網絡氾濫的保護。 您的內部信息技術組和您的互聯網服務提供商(ISP)都必須採取適當的對策。 這也是關於網絡託管和支付處理公司的問題。 所有這些外部供應商都必須證明他們有什麼保護措施。
再一次,表徵自己公司自己的數據網絡,數據中心和數據管理特徵的最佳實踐與您應該確認的在數據處理,支付處理,網絡和網站託管服務的所有外部供應商中都是相同的。
在與第三方供應商簽訂任何合同之前,您應確定其擁有來自獨立外部機構(如上所述)的適當最低認證,並進行自己的盡職調查,由貴公司自己的信息技術人員領導並提供適當的憑據或由合格的外部顧問。
作為最後的考慮,可以購買與數據安全漏洞相關的成本保險。 這些費用包括信用卡網絡(如維薩和萬事達卡)對這類故障徵收的罰款和罰款,以及他們對發卡機構(主要是銀行,信用合作社和證券公司)徵收的用於取消信用卡和借記卡的費用,由於貴公司造成的違規行為而發布新的並使卡成員完整,因此他們將嘗試向您的公司收取費用。
這種保險有時可以由支付處理公司提供,也可以直接從保險公司提供。 這些政策的細節可以詳細說明,因此購買此類保險需要非常小心。
主要來源:“避免數據洩露”, 福布斯 ,2011年7月18日。