Қаржылық кәсіпқойлар үшін жылдам алға бастыру
Деректерді қорғау қаржы қызметтерінің индустриясында алаңдаушылығын тудыратын негізгі мәселе болып табылады, себебі ол әлеуетті қаржылық және беделді шығындармен байланысты. Киберқылмыспен айналысатын қаржылық фирмалар өсуде.
Тиісінше, деректерді қорғау мəселелеріне тек ақпараттық технологиялар қызметкерлері ғана емес, сондай-ақ тəуекелдерді басқару жəне сəйкестік қызметкерлері, сондай-ақ бақылаушы ұйымдар мен бас қаржы қызметкерлері қатысуы керек.
Сонымен қатар, басқа салалардағы қаржы менеджменті мамандары, негізінен, қаржылық қатерлерді ескере отырып, деректер қауіпсіздігінің тақырыптарымен таныс болуы керек.
Банктерге, инвестициялық фирмаларға, электронды төлем процессорларына, несиелік карталар желілеріне, бөлшек саудагерлерге және басқаларға әсер ететін негізгі деректер қауіпсіздігінің бұзылуының жиілігі мен құны, бұл маңыздылығы осы күндерді төмендетудің іс жүзінде мүмкін еместігі болып табылады.
Деректерді қорғау мәселелері:
Кредиттік карталар мен дебеттік карталар арқылы төлемдерді қабылдайтын компаниялар үшін деректерді қорғау электрондық төлем процессорларын таңдауға қатысты үлкен қамқорлықты қажет етеді. Бұл бизнес желісінде жүздеген компаниялар бар, бірақ тек Ішкі жиынтыққа Төлем картасының өнеркәсіптік қауіпсіздік стандарты кеңесі PCI талаптарына сәйкес келеді. Кредиттік карталардың негізгі эмитенттері (Visa, MasterCard және т.б.) әдетте компанияларды тек PCI-үйлесімді төлем процессорларын қолдана бастайды.
Несие карточкасын және дебеттік карталарды, мысалы, кассаларда, газ сорғыларында және банкоматтарда өңдеу сияқты деректерді қорғау, карточкалар мен PIN-кодтарды ұрлау схемалары арқылы күрделене түсіп келеді. Осы схемалардың көбісі RFID чиптерін (радиожиіліктік сәйкестендіру чиптерін) осы терминалдардағы деректер ұрыларымен жасырын орналастыруды осындай деректерді «жасыру» үшін пайдаланады.
Қауіпсіздік компаниясы ADT - осы түрдегі деректер бұзылған кезде ескертулерді тудыратын Anti-Skim бағдарламалық қамтамасыз етуді ұсынатын өнім. Бұған қоса, Клиенттік Қауіпсіздік Бағалаушы (QSA) деректердің қауіпсіздігін бұзудың осындай түрлеріне қатысты компанияның сезімталдықты тексеру үшін айналыса алады.
Деректерді қорғау көбінесе деректер орталықтарындағы физикалық қауіпсіздікке байланысты. Бұл рұқсат етілмеген қызметкерлердің сақталуын қамтамасыз етеді. Сонымен қатар, уәкілетті персоналға компанияның орналасқан жерінен құпия ақпаратты қамтитын серверлерді, ноутбуктерді, флэш-дискілерді, дискілерді, таспаларды, басып шығаруды және т.б. жоюға болмайды. Осындай жолмен, өз міндеттерін орындау кезінде қажет етілмейтін құпия ақпараттың санкцияланбаған қызметкерлерді қарауынан қорғау үшін басқару құралдары болуы керек.
Сіздің компанияңыздың үй-жайларындағы қауіпсіздік хаттамалары мен рәсімдерінен басқа, деректерді өңдеу және тасымалдау қызметтерін жеткізушілердің тәжірибелері тексерілуі керек. Мысалы, үшінші тараптың фирмасы сіздің компанияңыздың веб-сайтына ие болса, оның деректер қауіпсіздігі процедуралары туралы алаңдатуыңыз қажет. SAS-70 сертификаттау, ақпараттық технологиялар саласындағы жарияланған фирмалар үшін Sarbanes-Oxley Актісі талап ететін ішкі желілерге қатысты қауіпсіздікті қамтамасыз етудің барабар рәсімдерінің бірыңғай стандарт болып табылады.
SSL протоколдарын пайдалану транзакцияларға ақы төлеу кезінде несие карталарының нөмірлерінің енгізілуі сияқты құпия деректерді қауіпсіз түрде онлайн режимінде қолданудың стандарты болып табылады.
Желілік қауіпсіздіктің үздік тәжірибелері:
Деректер қауіпсіздігіне әсер ететін желі қауіпсіздігінің негізгі аспектілері хакерлерге қарсы және веб-сайттар мен желілердің су тасқынынан қорғау болып табылады. Сіздің ішкі ақпараттық технологиялық топтарыңыз да, Интернет провайдеріңіз (ISP) де тиісті қарсы шараларға ие болуы керек. Бұл сондай-ақ веб-хостинг пен төлемдерді өңдеуші компанияларға қатысты алаңдаушылық тудырады. Барлық осы сыртқы жабдықтаушылар қандай қорғаныстарды көрсетуі керек.
Сіздің компанияңыздың меншікті деректер желілерін, деректер орталықтарын және деректерді басқаруды сипаттайтын ең үздік тәжірибелер - деректерді өңдеу, төлемдерді өңдеу, желілік және веб-сайтты хостинг қызметтері бойынша барлық сыртқы жеткізушілердің орнына растауыңыз керек.
Үшінші тарап провайдерімен қандай да бір келісімшарт жасаспас бұрын, сіз тәуелсіз сыртқы органдардың (жоғарыда айтылғандай) тиісті ең төменгі сертификаттарына ие болуыңыз керек және сіздің компанияңыздың өз ақпараттық технологиялары қызметкерлерінің тиісті сәйкестік куәліктерін немесе білікті сыртқы консультанттар.
Соңғы ескерту ретінде, деректерді қорғауды бұзуға байланысты шығындарды сақтандырудан сатып алуға болады. Мұндай шығындар кредиттік карталар желісі (Visa және MasterCard сияқты) бойынша осындай төлемдер үшін алынатын айыппұлдар мен айыппұлдарды, сондай-ақ карт-эмитенттерге (негізінен банктер, кредиттік серіктестіктер және құнды қағаздар фирмаларына) кредиттік және дебеттік карталарды , Сіздің компанияңыздың туындаған бұзушылықтарына байланысты жаңа карталарды шығарып, карточка мүшелерін толықтыра отырып, олар сіздің компанияңызға ақы төлеуге тырысатын шығындар.
Мұндай сақтандыруды кейде төлемдерді өңдейтін фирмалар ұсынуы мүмкін, сондай-ақ сақтандыру компаниялары тікелей қол жетімді болуы мүмкін. Осындай саясатқа қатысты тамаша баспа егжей-тегжейлі болуы мүмкін, сондықтан мұндай сақтандыруды сатып алу үлкен қамқорлықты қажет етеді.
Негізгі көзі: «Деректерді бұзуды болдырмау», Forbes , 18.07.2011.