金融专业人士快速入门
数据安全是金融服务行业关注的一个主要问题,因为它涉及巨大的潜在财务和声誉成本。 针对金融公司的网络犯罪正在上升。
因此,关注数据安全事宜不仅涉及信息技术人员,还涉及风险管理 和合规人员,以及控制组织和首席财务官的成员。
此外,考虑到财务风险,其他行业的财务管理专业人士基本上应该熟悉数据安全方面的主题。
对银行,投资公司,电子支付处理商,信用卡网络,零售商等影响较大的数据安全违规行为的频率和成本越来越高,这使得这一领域的重要性几乎不可能低估这些日子。
数据安全问题:
接受通过信用卡和借记卡付款的公司的数据安全性涉及对电子支付处理器的选择非常关心。 该业务领域有数百家公司,但只有一个子集被支付卡行业安全标准委员会评为PCI兼容。 主要信用卡发卡机构(Visa,MasterCard等)通常试图引导公司只使用PCI兼容的支付处理器。
关于销售点信用卡和借记卡处理(如收银机,加油泵和自动取款机)的数据安全性越来越受到盗窃卡号和个人识别码方案的影响和复杂化。 这些方案中的许多方案利用这些终端处的数据窃贼秘密放置RFID芯片(射频识别芯片)以“跳过”这些数据。
安全公司ADT是一家提供Anti-Skim软件的供应商,该软件在检测到此类数据泄露时触发警报。 此外,可聘请合格的安全评估师(QSA)对公司对这类数据安全漏洞的敏感性进行调查。
数据安全通常取决于数据中心的物理安全性。 这涉及确保未经授权的人员被关闭。 此外,授权人员不得从包含公司位置的敏感信息中删除服务器,笔记本电脑,闪存驱动器,磁盘,磁带,打印件等。 同样,应制定管制措施,防止未经授权的人员查看履行职责时不需要的敏感信息。
除了贵公司的安全协议和程序之外,还必须仔细审查外部供应商的数据处理和传输服务的做法。 例如,如果第三方公司托管贵公司的网站,则必须关注其数据安全程序。 根据萨班斯 - 奥克斯利法案(Sarbanes-Oxley Act)的要求,SAS-70认证是内部网络适当安全程序的通用标准,适用于上市信息技术公司。
使用SSL协议是安全在线处理敏感数据的标准,例如在交易付款时输入信用卡号码。
网络安全最佳实践:
对数据安全有影响的网络安全的关键方面是对黑客和网站或网络泛滥的保护。 您的内部信息技术组和您的互联网服务提供商(ISP)都必须采取适当的对策。 这也是关于网络托管和支付处理公司的问题。 所有这些外部供应商都必须证明他们有什么保护措施。
再一次,表征自己公司自己的数据网络,数据中心和数据管理特征的最佳实践与您应该确认的在数据处理,支付处理,网络和网站托管服务的所有外部供应商中都是相同的。
在与第三方供应商签订任何合同之前,您应确定其拥有来自独立外部机构(如上所述)的适当最低认证,并进行自己的尽职调查,由贵公司自己的信息技术人员领导并提供适当的凭据或由合格的外部顾问。
作为最后的考虑,可以购买与数据安全漏洞相关的成本保险。 这些费用包括信用卡网络(如维萨和万事达卡)对这类故障征收的罚款和罚款,以及他们对发卡机构(主要是银行,信用合作社和证券公司)征收的用于取消信用卡和借记卡的费用,由于贵公司造成的违规行为而发布新的并使卡成员完整,因此他们将尝试向您的公司收取费用。
这种保险有时可以由支付处理公司提供,也可以直接从保险公司提供。 这些政策的细节可以详细说明,因此购买此类保险需要非常小心。
主要来源:“避免数据泄露”, 福布斯 ,2011年7月18日。