Come prevenire le violazioni dei dati con la sicurezza dei dati

Video: La privacy #2 - Il GDPR e il trattamento dei dati personali

Contenuto

Minacce alla sicurezza dei dati
Numeri di carta e PIN
Personale non autorizzato
Fornitori esterni
Best practice per la sicurezza della rete
Assicurazione contro la violazione dei dati

La sicurezza dei dati è una delle principali preoccupazioni del settore dei servizi finanziari perché è associata a enormi costi finanziari e di reputazione. Il crimine informatico contro le società finanziarie è in aumento.

Di conseguenza, l'attenzione alle questioni relative alla sicurezza dei dati dovrebbe coinvolgere non solo i membri del personale delle tecnologie dell'informazione, ma anche i responsabili della gestione dei rischi e della conformità, nonché i membri delle organizzazioni di controllo e i responsabili finanziari. Inoltre, i professionisti della gestione finanziaria di altri settori devono sostanzialmente conoscere gli argomenti relativi alla sicurezza dei dati, date le esposizioni finanziarie.

La crescente frequenza e il costo delle principali violazioni della sicurezza dei dati, che colpiscono banche, società di investimento, processori di pagamento elettronici, reti di carte di credito, commercianti al dettaglio e altri, rendono questo settore la cui importanza è praticamente impossibile da sottovalutare.

Minacce alla sicurezza dei dati

La sicurezza dei dati per le aziende che accettano pagamenti tramite carte di credito e debito è essenziale quando si sceglie un processore di pagamento elettronico. Ci sono centinaia di aziende in questo settore, ma solo un sottoinsieme è conforme al settore PCI (Payment Card Industry) conforme al Consiglio sullo standard di sicurezza del settore delle carte di pagamento. I principali emittenti di carte di credito, come Visa e MasterCard, in genere tentano di indirizzare le aziende verso l'utilizzo di soli processori di pagamento conformi a PCI.

Per proteggere dalle violazioni dei dati, le aziende devono eseguire un'analisi dei rischi delle loro potenziali debolezze e agire per ridurre la probabilità di attacchi di successo alle proprie infrastrutture critiche.

Numeri di carta e PIN

La sicurezza dei dati relativi all'elaborazione delle carte di credito e delle carte di debito nei punti vendita (POS), come presso i registratori di cassa, le pompe di benzina e i bancomat (bancomat), è sempre più compromessa e complicata da schemi per rubare numeri di carte e numeri di identificazione personale (PIN). Molti di questi schemi utilizzano il posizionamento segreto di chip di identificazione in radiofrequenza (RFID) da parte di ladri di dati in questi terminali per "scremare" tali dati.

La società di sicurezza ADT è un fornitore che offre software Anti-Skim che attiva avvisi quando vengono rilevate violazioni dei dati di questo tipo. Inoltre, un valutatore della sicurezza qualificato (QSA) può essere incaricato di condurre un sondaggio sulla suscettibilità di un'azienda a questi tipi di violazioni della sicurezza dei dati.

Personale non autorizzato

La sicurezza dei dati dipende spesso dalla sicurezza fisica dei data center. Ciò implica garantire che il personale non autorizzato sia tenuto fuori. Inoltre, al personale autorizzato non è consentito rimuovere server, laptop, unità flash, dischi, nastri o stampe, contenenti informazioni riservate provenienti dalle sedi dell'azienda. Allo stesso modo, dovrebbero essere predisposti controlli per evitare la visualizzazione da parte del personale non autorizzato di informazioni sensibili che non sono necessarie per lo svolgimento delle proprie funzioni.

Fornitori esterni

Oltre ai protocolli e alle procedure di sicurezza nei locali dell'azienda, è necessario esaminare attentamente le pratiche dei fornitori esterni di servizi di elaborazione e trasmissione dei dati. Ad esempio, se un'azienda di terze parti ospita il sito Web della tua azienda, devi preoccuparti delle sue procedure di sicurezza dei dati. The Statement on Auditing Standards (SAS) No. 70, Organizzazioni di servizio, la certificazione è uno standard comune per adeguate procedure di sicurezza relative alle reti interne, richiesto dal Sarbanes-Oxley Act per le aziende di tecnologia dell'informazione detenute pubblicamente.

L'uso dei protocolli SSL (Secure Socket Layer) è lo standard per la gestione sicura dei dati sensibili online, come l'inserimento dei numeri di carta di credito nel pagamento per le transazioni. SSL è la tecnologia di sicurezza standard per stabilire un collegamento crittografato tra un server Web e un browser.

Best practice per la sicurezza della rete

Gli aspetti chiave della sicurezza della rete che hanno un impatto sulla sicurezza dei dati sono le protezioni contro gli hacker e l'inondazione di siti Web o reti. Sia il gruppo informatico interno che il fornitore di servizi Internet (ISP) devono disporre di contromisure adeguate. Anche questo è motivo di preoccupazione per le società di web hosting e di elaborazione dei pagamenti. I fornitori esterni devono dimostrare quali protezioni hanno in atto.

Le migliori pratiche che caratterizzano le reti di dati, i data center e la gestione dei dati della tua azienda dovrebbero essere applicate anche a tutti i fornitori esterni di servizi di elaborazione dei dati, elaborazione dei pagamenti, reti e hosting di siti Web che collaborano con la tua azienda.

Prima di stipulare un contratto con un fornitore di terze parti, accertarsi che disponga delle certificazioni minime appropriate da parte di organismi esterni indipendenti e condurre la propria due diligence, guidata dal personale IT della propria azienda con le credenziali appropriate o da consulenti esterni qualificati.

Assicurazione contro la violazione dei dati

Come considerazione finale, è possibile acquistare un'assicurazione contro i costi associati alle violazioni della sicurezza dei dati. Tali costi comprendono le multe e le penalità applicate dalle reti di carte di credito, come Visa e MasterCard, nonché le spese che impongono agli emittenti di carte, quali banche e cooperative di credito.

Tale assicurazione a volte può essere offerta da società di elaborazione dei pagamenti, oltre ad essere direttamente disponibile dalle compagnie di assicurazione. La stampa fine di queste polizze può essere dettagliata, quindi l'acquisto di questo tipo di assicurazione richiede molta cura.