วิธีการป้องกันการรั่วไหลของข้อมูลด้วยความปลอดภัยของข้อมูล
पृथà¥?वी पर सà¥?थित à¤à¤¯à¤¾à¤¨à¤• नरक मंदिर | Amazing H
สารบัญ:
ความปลอดภัยของข้อมูลเป็นปัญหาสำคัญของอุตสาหกรรมบริการทางการเงินเนื่องจากมีความเกี่ยวข้องกับต้นทุนทางการเงินและชื่อเสียง อาชญากรรมไซเบอร์กำหนดเป้าหมาย บริษัท ทางการเงินกำลังเพิ่มขึ้น
ดังนั้นการใส่ใจในเรื่องความปลอดภัยของข้อมูลไม่เพียง แต่เกี่ยวข้องกับสมาชิกของเจ้าหน้าที่เทคโนโลยีสารสนเทศเท่านั้น แต่ยังรวมถึงการจัดการความเสี่ยงและบุคลากรด้านการกำกับดูแลรวมถึงสมาชิกขององค์กรควบคุมและหัวหน้าเจ้าหน้าที่การเงิน นอกจากนี้ผู้เชี่ยวชาญด้านการจัดการทางการเงินในอุตสาหกรรมอื่น ๆ จำเป็นต้องคุ้นเคยกับหัวข้อในเรื่องความปลอดภัยของข้อมูลตามความเสี่ยงทางการเงิน
ความถี่ที่เพิ่มขึ้นและค่าใช้จ่ายของการละเมิดความปลอดภัยของข้อมูลที่สำคัญซึ่งส่งผลกระทบต่อธนาคาร บริษัท การลงทุนผู้ประมวลผลการชำระเงินอิเล็กทรอนิกส์เครือข่ายบัตรเครดิตร้านค้าปลีกและอื่น ๆ ทำให้พื้นที่นี้เป็นพื้นที่ที่มีความสำคัญ
ปัญหาความปลอดภัยของข้อมูล:
ความปลอดภัยของข้อมูลสำหรับ บริษัท ที่รับชำระเงินด้วยบัตรเครดิตและบัตรเดบิตนั้นเกี่ยวข้องกับการดูแลอย่างมากเกี่ยวกับทางเลือกของตัวประมวลผลการชำระเงินทางอิเล็กทรอนิกส์ มี บริษัท หลายร้อย บริษัท ในธุรกิจนี้ แต่มีเพียงชุดย่อยเท่านั้นที่ได้รับการรับรอง PCI ตามมาตรฐานความปลอดภัยของอุตสาหกรรมบัตรชำระเงิน ผู้ออกบัตรเครดิตรายใหญ่ (Visa, MasterCard, ฯลฯ) มักจะพยายามบังคับให้ บริษัท ต่างๆหันมาใช้ตัวประมวลผลการชำระเงินที่เป็นไปตามมาตรฐาน PCI เท่านั้น
ความปลอดภัยของข้อมูลเกี่ยวกับจุดขายบัตรเครดิตและการประมวลผลบัตรเดบิตเช่นที่เครื่องบันทึกเงินสดปั้มแก๊สและตู้ ATM นั้นกำลังถูกบุกรุกและมีความซับซ้อนมากขึ้นโดยมีรูปแบบการขโมยหมายเลขบัตรและ PIN หลายรูปแบบเหล่านี้ใช้ตำแหน่งที่เป็นความลับของชิป RFID (ชิประบุคลื่นความถี่วิทยุ) โดยขโมยข้อมูลที่หน้าจอเหล่านี้เพื่อ "อ่าน" ข้อมูลดังกล่าว บริษัท รักษาความปลอดภัย ADT เป็นผู้จำหน่ายที่นำเสนอซอฟต์แวร์ Anti-Skim ซึ่งจะทริกเกอร์การแจ้งเตือนเมื่อตรวจพบการละเมิดข้อมูลประเภทนี้
นอกจากนี้ผู้รับรองความปลอดภัยที่ผ่านการรับรอง (QSA) สามารถมีส่วนร่วมในการสำรวจความอ่อนแอของ บริษัท ต่อการละเมิดความปลอดภัยของข้อมูลประเภทนี้
ความปลอดภัยของข้อมูลมักขึ้นอยู่กับความปลอดภัยทางกายภาพที่ศูนย์ข้อมูล สิ่งนี้เกี่ยวข้องกับการทำให้มั่นใจว่าบุคลากรที่ไม่ได้รับอนุญาตถูกนำออกไป นอกจากนี้บุคลากรที่ได้รับอนุญาตไม่สามารถลบเซิร์ฟเวอร์แล็ปท็อปแฟลชไดรฟ์ดิสก์เทปงานพิมพ์ ฯลฯ ซึ่งมีข้อมูลที่ละเอียดอ่อนจากที่ตั้งของ บริษัท ในทำนองเดียวกันการควบคุมควรมีไว้เพื่อป้องกันการดูข้อมูลที่ไม่ได้รับอนุญาตของบุคลากรที่ไม่ได้รับอนุญาตซึ่งไม่จำเป็นในการปฏิบัติหน้าที่
นอกเหนือจากโปรโตคอลและขั้นตอนการรักษาความปลอดภัยในสถานที่ บริษัท ของคุณแล้วการปฏิบัติของผู้ค้าภายนอกเกี่ยวกับการประมวลผลข้อมูลและบริการส่งสัญญาณนั้นจะต้องได้รับการพิจารณา ตัวอย่างเช่นหาก บริษัท บุคคลที่สามโฮสต์เว็บไซต์ของ บริษัท คุณจะต้องกังวลเกี่ยวกับขั้นตอนการรักษาความปลอดภัยข้อมูล การรับรอง SAS-70 เป็นมาตรฐานทั่วไปสำหรับขั้นตอนการรักษาความปลอดภัยที่เพียงพอเกี่ยวกับเครือข่ายภายในที่กำหนดโดยกฎหมาย Sarbanes-Oxley Act สำหรับ บริษัท เทคโนโลยีสารสนเทศที่จัดขึ้นในที่สาธารณะ การใช้โปรโตคอล SSL เป็นมาตรฐานสำหรับการจัดการข้อมูลที่สำคัญทางออนไลน์อย่างปลอดภัยเช่นการป้อนหมายเลขบัตรเครดิตในการชำระเงินสำหรับการทำธุรกรรม
แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของเครือข่าย:
ประเด็นสำคัญของการรักษาความปลอดภัยเครือข่ายที่มีผลกระทบต่อความปลอดภัยของข้อมูลคือการป้องกันแฮกเกอร์และเว็บไซต์หรือเครือข่ายที่มีน้ำท่วม ทั้งกลุ่มเทคโนโลยีสารสนเทศภายในองค์กรและผู้ให้บริการอินเทอร์เน็ต (ISP) ของคุณต้องมีมาตรการตอบโต้ที่เหมาะสม นี่เป็นเรื่องของความกังวลเกี่ยวกับเว็บโฮสติ้งและ บริษัท ประมวลผลการชำระเงิน ผู้ขายภายนอกทั้งหมดเหล่านี้จะต้องแสดงให้เห็นถึงการคุ้มครองที่พวกเขามี
อีกครั้งแนวปฏิบัติที่ดีที่สุดที่อธิบายลักษณะเครือข่ายข้อมูลของ บริษัท ของคุณเองศูนย์ข้อมูลและการจัดการข้อมูลเป็นแนวทางเดียวกับที่คุณควรยืนยันว่ามีอยู่ในผู้ขายภายนอกทั้งหมดของการประมวลผลข้อมูลการประมวลผลการชำระเงินระบบเครือข่ายและบริการโฮสต์เว็บไซต์ ก่อนทำสัญญาใด ๆ กับผู้ให้บริการบุคคลที่สามคุณควรตรวจสอบให้แน่ใจว่ามีการรับรองขั้นต่ำที่เหมาะสมจากหน่วยงานภายนอกที่เป็นอิสระ (ดังที่อธิบายไว้ข้างต้น) และดำเนินการตรวจสอบสถานะของคุณเองโดยบุคลากรด้านเทคโนโลยีสารสนเทศของ บริษัท หรือที่ปรึกษาภายนอกที่ผ่านการรับรอง
การพิจารณาขั้นสุดท้ายเป็นไปได้ที่จะซื้อประกันกับค่าใช้จ่ายที่เกี่ยวข้องกับการละเมิดความปลอดภัยของข้อมูล ค่าใช้จ่ายดังกล่าวรวมถึงค่าปรับและค่าปรับที่เรียกเก็บจากเครือข่ายบัตรเครดิต (เช่น Visa และ MasterCard) สำหรับความล้มเหลวดังกล่าวรวมถึงค่าใช้จ่ายที่เรียกเก็บจากผู้ออกบัตร (ส่วนใหญ่ธนาคารสหภาพเครดิตและ บริษัท หลักทรัพย์) สำหรับการยกเลิกบัตรเครดิตและบัตรเดบิต ออกบัตรใหม่และทำให้สมาชิกบัตรหมดเนื่องจากการละเมิดที่เกิดจาก บริษัท ของคุณค่าใช้จ่ายที่พวกเขาจะพยายามเรียกเก็บเงินคืนให้กับ บริษัท ของคุณ
ประกันดังกล่าวบางครั้งสามารถนำเสนอโดย บริษัท ประมวลผลการชำระเงินเช่นเดียวกับการให้บริการจาก บริษัท ประกันภัยโดยตรง รายละเอียดการพิมพ์ที่ละเอียดเกี่ยวกับนโยบายดังกล่าวดังนั้นการซื้อประกันดังกล่าวต้องใช้ความระมัดระวังเป็นอย่างมาก
แหล่งที่มาหลัก: "หลบการละเมิดข้อมูล" ฟอร์บ, 7/18/2011.
