Tecnología

Inicio

Políticas y Procedimientos para el cumplimiento

A medida que una mayor regulación y supervisión se implementa a nivel mundial, la necesidad de entender las políticas y procedimientos de cumplimiento se vuelve aún más importante. Dos políticas de cumplimiento son críticos de Tarjetas de Crédito Industria Estándar de Seguridad de Datos (PCI-DSS) y la protección de infraestructuras críticas de América del Norte Confiabilidad Eléctrica Corporación (NERC-CIP). Ambos implican los activos de TI de seguridad y protección, aunque en diferentes industrias.

PCI-DSS

requisitos de PCI-DSS se unieron en 2006 como un grupo colectivo de las políticas requeridas por cinco grandes redes internacionales minoristas electrónicos de pago: Visa, American Express, Discover, MasterCard y JCB (Japan Credit Bureau). Los 12 requisitos de PCI-DSS se aplican a las empresas de la industria financiera que hacen negocios con uno de estos cinco principales compañías de tarjetas de crédito y que, o bien procesar, transmitir o números de tarjetas de crédito de la tienda (también conocido como "titular de la tarjeta"). El impulso para PCI-DSS es proporcionar garantías contra el robo de identidad.

NERC-CIP

Las normas impuestas por NERC CIP están en su lugar para ayudar a proteger el sistema de energía de América del Norte. los servicios públicos de generación de energía y revendedores de energía están sujetas a estas normas. Las 18 normas (no todas las entidades están sujetas a todas las normas internacionales) son similares a PCI-DSS, en la medida en que regulan cómo una red se va a configurar y donde se vayan a instalar y acceder a recursos cibernéticos críticos (en oposición a los Titulares de Tarjetas ).

Las sanciones por incumplimiento

Las sanciones por no cumplir con PCI-DSS son simples: si una empresa se encuentra para estar fuera de cumplimiento, van a perder su relación de negocios con VISA, Mastercard, etc. Para las empresas cuyo negocio es el procesamiento de transacciones financieras, se toma su medio de vida lejos. sanciones financieras institutos NERC para las empresas que se encuentran a no estar de acuerdo. Las multas pueden pueden ser tan alto como $ 1 millón por día para aquellas empresas notoriamente fuera de cumplimiento.

Otras políticas y procedimientos de cumplimiento

Hay varias otras normas, requisitos, políticas y procedimientos que deben seguir las organizaciones para proteger los datos en esta era electrónica. Algunos de ellos incluyen:

Sarbanes-Oxley (SOX): directrices federales de los Estados Unidos relativas a la rendición de cuentas con las finanzas corporativas y auditoría. Declaración de Normas de Auditoría No. 70 (SAS 70): Las normas de auditoría de los auditores. Estas normas pueden aplicarse a la financiera, así como la seguridad de TI Ley de Responsabilidad y Portabilidad del Seguro industries.Health (HIPAA): directrices federales de Estados Unidos expondrá cómo los proveedores médicos y otros deben proteger los datos médicos del paciente.

Cómo cumplir

Por lo general, hay dos partes a pasar una PCI-DSS o NERC-CIP auditoría de cumplimiento: la documentación y la implementación técnica. La última parte se lleva a cabo por el departamento de TI de una organización con orientación típicamente de un auditor (QSA "," en el mundo de PCI-DSS). La documentación se maneja normalmente por los escritores técnicos, pero estas normas son tan relativamente nueva que es difícil encontrar un escritor que en realidad tiene experiencia de la escritura de estas políticas. El PCI individuo, en línea en http://www.thepciguy.com, es una empresa de consultoría documentación técnica que se especializa en escribir PCI-DSS, NERC-CIP y documentación de cumplimiento SOX.