รองพื้นอย่างรวดเร็วสำหรับผู้เชี่ยวชาญด้านการเงิน
การรักษาความปลอดภัยข้อมูลเป็นประเด็นสำคัญที่ทำให้ห่วงใยใน อุตสาหกรรมบริการทางการเงิน เนื่องจากมีความเกี่ยวข้องกับค่าใช้จ่ายทางการเงินและชื่อเสียงอันมหาศาล อาชญากรรมการกำหนดเป้าหมาย บริษัท ทางการเงินกำลังเพิ่มขึ้น
ดังนั้นการให้ความสำคัญกับเรื่องความปลอดภัยของข้อมูลจึงควรเกี่ยวข้องกับสมาชิกของทีมงาน ด้านเทคโนโลยีสารสนเทศ แต่ยังรวมถึงบุคลากร ด้านการบริหารความเสี่ยง และการ ปฏิบัติตามกฎระเบียบ ตลอดจนสมาชิกขององค์กร ควบคุม และหัวหน้าเจ้าหน้าที่การเงิน
นอกจากนี้ผู้เชี่ยวชาญด้านการจัดการด้านการเงินในอุตสาหกรรมอื่น ๆ จะต้องมีความคุ้นเคยกับหัวข้อด้านความปลอดภัยข้อมูลโดยพิจารณาจากความเสี่ยงด้านการเงิน
ความถี่และความถี่ที่เพิ่มขึ้นของการละเมิดข้อมูลความปลอดภัยที่สำคัญซึ่งส่งผลต่อธนาคาร บริษัท ลงทุนหน่วยประมวลผลการชำระเงินทางอิเล็กทรอนิกส์เครือข่ายบัตรเครดิตผู้ค้าปลีกและผู้อื่นทำให้พื้นที่นี้มีความสำคัญซึ่งแทบจะเป็นไปไม่ได้ที่จะประมาทในวันนี้
ปัญหาด้านความปลอดภัยข้อมูล:
การรักษาความปลอดภัยข้อมูลสำหรับ บริษัท ที่รับการชำระเงินผ่านบัตรเครดิตและบัตรเดบิตเกี่ยวข้องกับการดำเนินการอย่างรอบคอบเกี่ยวกับการเลือกตัวประมวลผลการชำระเงินทางอิเล็กทรอนิกส์ มีหลายร้อย บริษัท ในสายธุรกิจนี้ แต่มีเพียงกลุ่มย่อยที่ได้รับการจัดอันดับ PCI Compliant จากบัตรมาตรฐานความปลอดภัยอุตสาหกรรมบัตรชำระเงิน ผู้ออกบัตรเครดิตรายใหญ่ (วีซ่า, มาสเตอร์การ์ด, ฯลฯ ) มักพยายามที่จะคัดเลือก บริษัท ที่มีต่อการใช้โปรเซสเซอร์ชำระเงินที่รองรับ PCI เท่านั้น
การรักษาความปลอดภัยข้อมูลเกี่ยวกับจุดขายบัตรเครดิตและการประมวลผลบัตรเดบิตเช่นที่เครื่องลงทะเบียนเงินสดปั๊มแก๊สและตู้เอทีเอ็มมีการบุกรุกและซับซ้อนมากขึ้นโดยแผนการขโมยหมายเลขบัตรและ PIN หลายรูปแบบเหล่านี้ใช้ตำแหน่งลับของชิป RFID (ชิปการระบุความถี่วิทยุ) โดยขโมยข้อมูลที่เทอร์มินัลเหล่านี้เพื่อ "คัดลอก" ข้อมูลดังกล่าว
บริษัท รักษาความปลอดภัย ADT เป็นผู้จัดจำหน่ายที่มีซอฟต์แวร์ Anti-Skim ซึ่งจะเรียกใช้การแจ้งเตือนเมื่อมีการตรวจพบการละเมิดข้อมูลประเภทนี้ นอกจากนี้ยังสามารถใช้ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยที่ได้รับการรับรอง (QSA) เพื่อทำแบบสำรวจความอ่อนแอของ บริษัท ต่อการละเมิดข้อมูลความปลอดภัยประเภทนี้
การรักษาความปลอดภัยข้อมูลมักขึ้นอยู่กับความปลอดภัยทางกายภาพที่ศูนย์ข้อมูล นี้เกี่ยวข้องกับการตรวจสอบว่าบุคลากรที่ไม่ได้รับอนุญาตจะถูกเก็บไว้ออก นอกจากนี้ยังไม่อนุญาตให้พนักงานที่ได้รับอนุญาตให้นำเซิร์ฟเวอร์แล็ปท็อปไดรฟ์แฟลชดิสก์เทปงานพิมพ์ ฯลฯ ซึ่งมีข้อมูลที่ละเอียดอ่อนออกจากสถานที่ตั้งของ บริษัท ในทำนองเดียวกันควรมีการควบคุมเพื่อป้องกันการดูข้อมูลสำคัญที่บุคลากรไม่ได้รับอนุญาตซึ่งไม่จำเป็นต้องใช้ในการปฏิบัติงาน
นอกเหนือจากโปรโตคอลและขั้นตอนด้านความปลอดภัยในสถานที่ของ บริษัท คุณต้องตรวจสอบการปฏิบัติของผู้จัดจำหน่ายด้านนอกของบริการประมวลผลข้อมูลและการรับส่งข้อมูลด้วย ตัวอย่างเช่นหาก บริษัท ของบุคคลที่สามเป็นเจ้าของเว็บไซต์ของ บริษัท คุณต้องกังวลเกี่ยวกับขั้นตอนด้านความปลอดภัยของข้อมูล การรับรอง SAS-70 เป็นมาตรฐานทั่วไปสำหรับการรักษาความปลอดภัยอย่างเพียงพอเกี่ยวกับเครือข่ายภายในที่กำหนดโดยกฎหมาย Sarbanes-Oxley Act สำหรับ บริษัท เทคโนโลยีสารสนเทศที่สาธารณะ
การใช้โปรโตคอล SSL เป็นมาตรฐานสำหรับการจัดการข้อมูลที่มีความสำคัญอย่างปลอดภัยทางออนไลน์เช่นการป้อนข้อมูลหมายเลขบัตรเครดิตในการชำระเงินสำหรับธุรกรรม
หลักปฏิบัติด้านความปลอดภัยทางเครือข่าย:
ประเด็นสำคัญด้านความปลอดภัยของเครือข่ายที่มีผลกระทบต่อความปลอดภัยของข้อมูลคือการป้องกันแฮกเกอร์และการท่วมเว็บไซต์หรือเครือข่าย ทั้งกลุ่มเทคโนโลยีสารสนเทศภายในองค์กรของคุณและผู้ให้บริการอินเทอร์เน็ต (ISP) ของคุณต้องมีมาตรการตอบโต้ที่เหมาะสม นี้ยังเป็นเรื่องของความกังวลเกี่ยวกับเว็บโฮสติ้งและ บริษัท ประมวลผลการชำระเงิน ผู้ขายภายนอกเหล่านี้ต้องแสดงให้เห็นถึงความคุ้มครองที่พวกเขามีอยู่
ศูนย์ข้อมูลและการจัดการข้อมูลของ บริษัท ของคุณเองเป็นข้อมูลเดียวกันกับที่คุณควรยืนยันอยู่ในสถานที่ที่ผู้ขายภายนอกทั้งหมดในการประมวลผลข้อมูลการประมวลผลการชำระเงินระบบเครือข่ายและบริการโฮสติ้งเว็บไซต์
ก่อนที่จะทำสัญญาใด ๆ กับผู้ให้บริการบุคคลที่สามคุณควรตรวจสอบให้แน่ใจว่าได้รับการรับรองขั้นต่ำที่เหมาะสมจากหน่วยงานภายนอกที่เป็นอิสระ (ตามที่ระบุไว้ด้านบน) และดำเนินการด้วยความรอบคอบของคุณเองซึ่งนำโดยบุคลากรเทคโนโลยีสารสนเทศของ บริษัท ของคุณเองพร้อมด้วยข้อมูลรับรองที่เหมาะสม หรือที่ปรึกษาภายนอกที่มีคุณสมบัติเหมาะสม
การพิจารณาขั้นสุดท้ายเป็นไปได้ที่จะซื้อประกันกับค่าใช้จ่ายที่เกี่ยวข้องกับการละเมิดความปลอดภัยของข้อมูล ค่าใช้จ่ายดังกล่าวรวมถึงค่าปรับและการลงโทษที่เรียกเก็บจากเครือข่ายบัตรเครดิต (เช่น Visa และ MasterCard) สำหรับความผิดพลาดดังกล่าวรวมทั้งค่าใช้จ่ายที่ผู้ให้บริการออกบัตร (ธนาคารส่วนใหญ่สหภาพเครดิตและ บริษัท หลักทรัพย์) สำหรับการยกเลิกบัตรเครดิตและบัตรเดบิต การออกบัตรใหม่และทำให้สมาชิกบัตรทั้งหมดเกิดจากการละเมิดที่เกิดจาก บริษัท ค่าใช้จ่ายที่พวกเขาจะพยายามเรียกเก็บจาก บริษัท ของคุณ
การประกันดังกล่าวบางครั้งอาจได้รับการเสนอโดย บริษัท ผู้รับชำระเงินรวมถึงการได้รับจาก บริษัท ประกันภัยโดยตรง สามารถพิมพ์รายละเอียดเพิ่มเติมเกี่ยวกับนโยบายดังกล่าวได้ดังนั้นการซื้อประกันดังกล่าวต้องใช้ความระมัดระวังเป็นอย่างมาก
แหล่งที่มาหลัก: "การเลี่ยงการละเมิดข้อมูล" Forbes , 18/8/2011