Primer Cepat untuk Profesional Kewangan
Keselamatan data merupakan masalah utama dalam industri perkhidmatan kewangan kerana ia dikaitkan dengan potensi kewangan dan reputasi yang besar. Cybercrime yang mensasarkan syarikat kewangan semakin meningkat.
Sehubungan itu, perhatian kepada perkara keselamatan data harus melibatkan bukan sahaja anggota kakitangan teknologi maklumat , tetapi juga pengurusan risiko dan kakitangan pematuhan , serta anggota organisasi pengawal dan ketua pegawai kewangan.
Tambahan pula, profesional pengurusan kewangan dalam industri lain perlu pada asasnya fasih dengan topik dalam keselamatan data, memandangkan pendedahan kewangan.
Peningkatan kekerapan dan kos pelanggaran keselamatan data utama, yang memberi kesan kepada bank, firma pelaburan, pemproses pembayaran elektronik, rangkaian kad kredit, peniaga runcit dan lain-lain, menjadikan kawasan ini yang kepentingannya hampir mustahil untuk memandang rendah hari ini.
Isu Keselamatan Data:
Keselamatan data untuk syarikat yang menerima pembayaran melalui kad kredit dan kad debit melibatkan banyak penjagaan mengenai pilihan pemproses pembayaran elektronik. Terdapat beratus-ratus syarikat dalam bidang perniagaan ini, tetapi hanya subset diberi PCI yang dinilai oleh Majlis Standard Industri Keselamatan Kad Pembayaran. Pengeluar kad kredit utama (Visa, MasterCard, dan lain-lain) biasanya cuba memacu syarikat-syarikat ke arah menggunakan hanya pemproses pembayaran yang mematuhi PCI.
Keselamatan data mengenai pemprosesan kad kredit dan pemprosesan kad debit, seperti pada daftar tunai, pam gas dan ATM, semakin dikompromi dan rumit oleh skim untuk mencuri nombor kad dan PIN. Kebanyakan skim ini menggunakan penempatan rahsia cip RFID (cip pengenalan frekuensi radio) oleh pencuri data di terminal ini untuk "mengkrim" data tersebut.
Syarikat keselamatan ADT adalah vendor yang menawarkan perisian Anti-Skim, yang mencetuskan makluman apabila data yang melanggar jenis ini dikesan. Selain itu, Penilai Keselamatan Berkelayakan (QSA) boleh terlibat untuk menjalankan tinjauan kerentanan syarikat terhadap jenis pelanggaran keselamatan data ini.
Keselamatan data sering bergantung kepada keselamatan fizikal di pusat data. Ini melibatkan memastikan orang yang tidak dibenarkan disimpan. Di samping itu, kakitangan yang diberi kuasa tidak dibenarkan mengeluarkan pelayan, komputer riba, pemacu denyar, cakera, pita, cetakan, dan lain-lain, yang mengandungi maklumat sensitif dari lokasi syarikat. Begitu juga, kawalan perlu disediakan untuk mengawasi pandangan orang yang tidak diberi maklumat sensitif yang tidak diperlukan dalam menjalankan tugas mereka.
Sebagai tambahan kepada protokol dan prosedur keselamatan di premis syarikat anda, amalan vendor luar perkhidmatan pemprosesan dan penghantaran data mesti diteliti. Sebagai contoh, jika firma pihak ketiga menganjurkan tapak web syarikat anda, anda mesti mengambil berat tentang prosedur keselamatan datanya. Sijil SAS-70 adalah piawai biasa bagi prosedur keselamatan yang mencukupi mengenai rangkaian dalaman, yang diperlukan oleh Akta Sarbanes-Oxley untuk firma teknologi maklumat yang dipegang secara terbuka.
Penggunaan protokol SSL adalah standard untuk mengendalikan data sensitif dengan selamat dalam talian, seperti input nombor kad kredit dalam pembayaran untuk transaksi.
Amalan Terbaik Keselamatan Rangkaian:
Aspek utama keselamatan rangkaian yang berdampak pada keselamatan data adalah perlindungan terhadap penggodam dan banjir laman web atau rangkaian. Kedua-dua kumpulan teknologi maklumat dalam rumah anda dan penyedia perkhidmatan Internet anda (ISP) mesti mempunyai tindak balas yang sesuai di tempatnya. Ini juga merupakan perkara yang membimbangkan mengenai hosting web dan syarikat pemprosesan pembayaran. Semua vendor luar ini mestilah menunjukkan perlindungan mereka.
Sekali lagi, amalan terbaik yang mewakili rangkaian data, pusat data dan pengurusan data syarikat anda sendiri adalah yang sama yang perlu anda sahkan di semua vendor luar pemprosesan data, pemprosesan pembayaran, perkhidmatan rangkaian dan laman web hosting.
Sebelum memasuki sebarang kontrak dengan pembekal pihak ketiga, anda harus memastikan bahawa ia mempunyai pensijilan minimum yang sesuai dari badan luar bebas (seperti yang digariskan di atas) dan menjalankan ketekunan wajar anda sendiri, yang dipimpin oleh kakitangan teknologi maklumat syarikat anda sendiri dengan kelayakan yang sesuai atau oleh perunding luar yang berkelayakan.
Sebagai balasan terakhir, adalah mungkin untuk membeli insurans terhadap kos yang berkaitan dengan pelanggaran keselamatan data. Kos tersebut termasuk denda dan denda yang dikenakan oleh rangkaian kad kredit (seperti Visa dan MasterCard) untuk kegagalan tersebut, serta perbelanjaan yang dikenakan ke atas pengeluar kad (terutamanya bank, kesatuan kredit dan firma sekuriti) untuk membatalkan kad kredit dan kad debit , mengeluarkan yang baru dan membuat ahli kad keseluruhan kerana pelanggaran yang disebabkan oleh syarikat anda, perbelanjaan yang mereka akan cuba untuk mengecaj kembali syarikat anda.
Insurans sedemikian kadangkala boleh ditawarkan oleh firma pemprosesan pembayaran, serta tersedia secara langsung daripada syarikat insurans. Cetakan bagus mengenai dasar tersebut boleh terperinci, jadi membeli insurans sedemikian memerlukan banyak penjagaan.
Sumber utama: "Melanggar Pelanggaran Data," Forbes , 7/18/2011.