May 4
Come più regolamentazione e la vigilanza è implementato a livello globale, la necessità di comprendere le politiche e le procedure di conformità diventa ancora più importante. Due politiche di conformità critici sono delle carte di pagamento Industry Data Security Standard (PCI-DSS) e la protezione delle infrastrutture critiche del Nord America Reliability Electric Corporation (NERC CIP). Entrambi coinvolgono le risorse IT di sicurezza e protezione, anche se in diversi settori industriali.
requisiti PCI-DSS si fusero nel 2006 come un gruppo collettivo di politiche richieste dai cinque principali di vendita al dettaglio di reti di pagamento elettronico internazionale: Visa, American Express, Discover, MasterCard e JCB (Japan Credit Bureau). I 12 requisiti di PCI-DSS si applicano alle aziende del settore finanziario che fare affari con una di queste cinque grandi società di carte di credito e che entrambi i processi, trasmettere o numeri di carte di credito negozio (noto anche come "dati del titolare"). L'impulso per PCI-DSS è quello di fornire garanzie contro il furto di identità.
Gli standard CIP incaricati dalla NERC sono in atto per contribuire a salvaguardare il sistema di alimentazione del Nord America. centrali elettriche che generano e rivenditori di alimentazione sono soggetti a tali standard. I 18 standard (non tutte le entità sono soggetti a tutti gli standard) sono simili a PCI-DSS, in quanto governano come una rete deve essere configurato e dove devono essere posizionato e accessibili risorse informatiche critiche (al contrario di titolare della carta Dati ).
Le sanzioni per il mancato rispetto PCI-DSS sono semplici: se una società si trova ad essere non conforme, perderanno il loro rapporto d'affari con VISA, Mastercard, ecc Per le aziende la cui attività è l'elaborazione di transazioni finanziarie, è preso il loro sostentamento lontano. sanzioni pecuniarie NERC istituti per le aziende si trovano a non essere in regola. Le multe possono possono essere fino a $ 1 milione per giorno per quelle aziende egregiamente fuori di conformità.
Ci sono diversi altri standard, requisiti, politiche e procedure che le organizzazioni devono seguire per proteggere i dati in questa era elettronica. Alcuni di essi includono:
Sarbanes-Oxley (SOX): Stati Uniti linee guida federali che disciplinano la responsabilità di finanza e controllo aziendali. Statement on Auditing Standards No. 70 (SAS70): Principi di revisione per i revisori. Questi standard possono applicare alla finanziaria, nonché della sicurezza IT industries.Health Insurance Portability e Accountability Act (HIPAA): Stati Uniti linee guida federali che illustra come fornitori di servizi sanitari e gli altri devono proteggere i dati medici del paziente.
In genere, ci sono due parti per il superamento di un PCI-DSS o NERC CIP-controllo di conformità: la documentazione e la realizzazione tecnica. L'ultima parte è fatto da reparto IT di un'organizzazione con la guida tipicamente da un revisore dei conti ( "QSA," nel mondo PCI-DSS). La documentazione è in genere gestita da redattori tecnici, ma questi standard sono così relativamente nuova che è difficile trovare uno scrittore che ha effettivamente esperienza di scrittura a queste politiche. Il Pci Guy, on-line su http://www.thepciguy.com, è una società di consulenza documentazione tecnica specializzata per iscritto PCI-DSS, NERC CIP-e SOX documentazione di conformità.