วิธีการป้องกันการละเมิดข้อมูลด้วยความปลอดภัยข้อมูล

การรักษาความปลอดภัยข้อมูลเป็นประเด็นสำคัญที่ทำให้ห่วงใยในอุตสาหกรรมบริการทางการเงินเนื่องจากมีความเกี่ยวข้องกับค่าใช้จ่ายด้านการเงินและชื่อเสียง อาชญากรรมการกำหนดเป้าหมาย บริษัท ทางการเงินกำลังเพิ่มขึ้น

ดังนั้นการให้ความสำคัญกับเรื่องความปลอดภัยของข้อมูลจึงควรเกี่ยวข้องกับสมาชิกของทีมงานด้านเทคโนโลยีสารสนเทศรวมถึงบุคลากรด้านการบริหารความเสี่ยงและการปฏิบัติตามกฎระเบียบตลอดจนสมาชิกขององค์กรควบคุมและหัวหน้าเจ้าหน้าที่ฝ่ายการเงินด้วย

นอกจากนี้ผู้เชี่ยวชาญด้านการจัดการด้านการเงินในอุตสาหกรรมอื่น ๆ จะต้องมีความคุ้นเคยกับหัวข้อด้านความปลอดภัยข้อมูลโดยพิจารณาจากความเสี่ยงด้านการเงิน

ความถี่และความถี่ที่เพิ่มขึ้นของการละเมิดข้อมูลความปลอดภัยที่สำคัญซึ่งส่งผลต่อธนาคาร บริษัท ลงทุนผู้ประมวลผลการชำระเงินทางอิเล็กทรอนิกส์เครือข่ายบัตรเครดิตผู้ค้าปลีกและผู้อื่นทำให้พื้นที่นี้มีความสำคัญที่แทบจะเป็นไปไม่ได้ที่จะประมาทในวันนี้

ปัญหาด้านความปลอดภัยข้อมูล ข้อมูลความปลอดภัยสำหรับ บริษัท ที่รับการชำระเงินผ่านบัตรเครดิตและบัตรเดบิตเกี่ยวข้องกับการเลือกใช้ตัวประมวลผลการชำระเงินทางอิเล็กทรอนิกส์ มีหลายร้อย บริษัท ในสายธุรกิจนี้ แต่มีเพียงกลุ่มย่อยที่ได้รับการจัดอันดับ PCI Compliant จากบัตรมาตรฐานความปลอดภัยอุตสาหกรรมบัตรชำระเงิน ผู้ออกบัตรเครดิตรายใหญ่ (วีซ่า, มาสเตอร์การ์ด, ฯลฯ ) มักพยายามที่จะคัดเลือก บริษัท ที่มีต่อการใช้โปรเซสเซอร์ชำระเงินที่รองรับ PCI เท่านั้น

การรักษาความปลอดภัยข้อมูลเกี่ยวกับบัตรเดบิตและการประมวลผลบัตรเดบิตเช่นที่เครื่องลงทะเบียนเงินสดปั๊มแก๊สและเครื่องเอทีเอ็มจะถูกทำลายและซับซ้อนมากขึ้นด้วยแผนการขโมยหมายเลขบัตรและ PIN หลายรูปแบบเหล่านี้ใช้ตำแหน่งลับของชิป RFID (ชิปการระบุความถี่วิทยุ) โดยขโมยข้อมูลที่เทอร์มินัลเหล่านี้เพื่อ "คัดลอก" ข้อมูลดังกล่าว

บริษัท รักษาความปลอดภัย ADT เป็นผู้จัดจำหน่ายที่มีซอฟต์แวร์ Anti-Skim ซึ่งจะเรียกใช้การแจ้งเตือนเมื่อพบข้อมูลผิดพลาดประเภทนี้ นอกจากนี้ยังสามารถใช้ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยที่ได้รับการรับรอง (QSA) เพื่อทำแบบสำรวจความอ่อนแอของ บริษัท ต่อการละเมิดข้อมูลความปลอดภัยประเภทนี้

ความปลอดภัยของข้อมูลมักขึ้นอยู่กับความปลอดภัยทางกายภาพที่ศูนย์ข้อมูล นี้เกี่ยวข้องกับการตรวจสอบว่าบุคลากรที่ไม่ได้รับอนุญาตจะถูกเก็บไว้ออก นอกจากนี้ยังไม่อนุญาตให้พนักงานที่ได้รับอนุญาตให้นำเซิร์ฟเวอร์แล็ปท็อปไดรฟ์แฟลชดิสก์เทปงานพิมพ์ ฯลฯ ซึ่งมีข้อมูลที่ละเอียดอ่อนออกจากสถานที่ตั้งของ บริษัท ในทำนองเดียวกันควรมีการควบคุมเพื่อป้องกันการดูข้อมูลสำคัญที่บุคลากรไม่ได้รับอนุญาตซึ่งไม่จำเป็นต้องใช้ในการปฏิบัติงาน

นอกเหนือจากโปรโตคอลและขั้นตอนด้านความปลอดภัยในสถานที่ของ บริษัท คุณต้องตรวจสอบการปฏิบัติของผู้จัดจำหน่ายด้านนอกบริการการประมวลผลและการรับส่งข้อมูลตัวอย่างเช่นหาก บริษัท ของบุคคลที่สามเป็นเจ้าของเว็บไซต์ของ บริษัท คุณต้องกังวลเกี่ยวกับขั้นตอนด้านความปลอดภัยของข้อมูล การรับรอง SAS-70 เป็นมาตรฐานทั่วไปสำหรับการรักษาความปลอดภัยอย่างเพียงพอเกี่ยวกับเครือข่ายภายในที่กำหนดโดยกฎหมาย Sarbanes-Oxley Act สำหรับ บริษัท เทคโนโลยีสารสนเทศที่สาธารณะ

การใช้โปรโตคอล SSL เป็นมาตรฐานสำหรับการจัดการข้อมูลที่มีความสำคัญทางออนไลน์อย่างปลอดภัยเช่นการป้อนหมายเลขบัตรเครดิตในการชำระเงินสำหรับการทำธุรกรรม

หลักปฏิบัติด้านความปลอดภัยทางเครือข่าย:

ประเด็นสำคัญด้านความปลอดภัยของเครือข่ายที่มีผลกระทบต่อความปลอดภัยของข้อมูลคือการป้องกันแฮกเกอร์และการท่วมเว็บไซต์หรือเครือข่าย ทั้งกลุ่มเทคโนโลยีสารสนเทศภายในองค์กรของคุณและผู้ให้บริการอินเทอร์เน็ต (ISP) ของคุณต้องมีมาตรการตอบโต้ที่เหมาะสม นี้ยังเป็นเรื่องของความกังวลเกี่ยวกับเว็บโฮสติ้งและ บริษัท ประมวลผลการชำระเงิน ผู้ขายภายนอกทั้งหมดเหล่านี้ต้องแสดงให้เห็นถึงความคุ้มครองที่มีอยู่

อีกครั้งแนวทางปฏิบัติที่ดีที่สุดในการกำหนดลักษณะเครือข่ายข้อมูลศูนย์ข้อมูลและการจัดการข้อมูลของ บริษัท ของคุณเองเป็นสิ่งเดียวกันกับที่คุณควรยืนยันอยู่ในสถานที่ที่ผู้จัดจำหน่ายภายนอกทั้งหมดของการประมวลผลข้อมูลการประมวลผลการชำระเงินบริการด้านเครือข่ายและบริการโฮสติ้งเว็บไซต์ .

ก่อนที่จะทำสัญญาใด ๆ กับผู้ให้บริการรายอื่นคุณควรตรวจสอบให้แน่ใจว่าได้รับการรับรองขั้นต่ำที่เหมาะสมจากหน่วยงานภายนอกที่เป็นอิสระ (ตามที่ระบุไว้ด้านบน) และดำเนินการตรวจสอบอย่างละเอียดที่นำโดยบุคลากรด้านเทคโนโลยีสารสนเทศของ บริษัท ของคุณเอง ข้อมูลประจำตัวที่เหมาะสมหรือโดยที่ปรึกษาที่ได้รับการรับรองจากภายนอก

เป็นข้อพิจารณาขั้นสุดท้ายคุณสามารถซื้อประกันกับค่าใช้จ่ายที่เกี่ยวข้องกับการละเมิดความปลอดภัยของข้อมูล ค่าใช้จ่ายดังกล่าวรวมถึงค่าปรับและการลงโทษที่เรียกเก็บจากเครือข่ายบัตรเครดิต (เช่น Visa และ MasterCard) สำหรับความผิดพลาดดังกล่าวรวมทั้งค่าใช้จ่ายที่ผู้ให้บริการออกบัตร (ธนาคารส่วนใหญ่สหภาพเครดิตและ บริษัท หลักทรัพย์) สำหรับการยกเลิกบัตรเครดิตและบัตรเดบิต การออกบัตรใหม่และทำให้สมาชิกบัตรทั้งหมดเกิดจากการละเมิดที่เกิดจาก บริษัท ค่าใช้จ่ายที่พวกเขาจะพยายามเรียกเก็บจาก บริษัท ของคุณ

การประกันภัยดังกล่าวบางครั้งอาจได้รับการเสนอโดย บริษัท ผู้รับชำระเงินรวมถึงการได้รับจาก บริษัท ประกันภัยโดยตรง สามารถพิมพ์รายละเอียดเพิ่มเติมเกี่ยวกับนโยบายดังกล่าวได้ดังนั้นการซื้อประกันดังกล่าวต้องใช้ความระมัดระวังเป็นอย่างมาก

แหล่งที่มาหลัก: "การเลี่ยงการละเมิดข้อมูล"

Forbes

, 18/7/2011