ຂໍ້ມູນຄວາມປອດໄພ

A Primer ດ່ວນສໍາລັບຜູ້ຊ່ຽວຊານດ້ານການເງິນ

ການຮັກສາຂໍ້ມູນເປັນບັນຫາທີ່ສໍາຄັນໃນ ອຸດສາຫະກໍາການບໍລິການທາງດ້ານການເງິນ ເນື່ອງຈາກມັນມີຄວາມກ່ຽວພັນກັບຄ່າໃຊ້ຈ່າຍທາງດ້ານການເງິນແລະຊື່ສຽງທີ່ມີທ່າແຮງ. ບໍລິສັດການເງິນທີ່ກໍານົດເປົ້າຫມາຍທາງດ້ານກົດຫມາຍແມ່ນເພີ່ມຂຶ້ນ.

ດັ່ງນັ້ນ, ຄວາມສົນໃຈກັບບັນຫາດ້ານຄວາມປອດໄພຂອງຂໍ້ມູນຄວນມີສ່ວນຮ່ວມບໍ່ພຽງແຕ່ສະມາຊິກຂອງພະນັກງານ ເຕັກໂນໂລຢີຂໍ້ມູນ ເທົ່ານັ້ນ, ແຕ່ຍັງ ມີຜູ້ຈັດການຄວາມສ່ຽງ ແລະການ ປະຕິບັດ ຫນ້າທີ່, ແລະສະມາຊິກຂອງອົງການ ຄວບຄຸມ ແລະເຈົ້າຫນ້າທີ່ດ້ານການເງິນ.

ຍິ່ງໄປກວ່ານັ້ນ, ຜູ້ຊ່ຽວຊານດ້ານການຄຸ້ມຄອງດ້ານການເງິນໃນອຸດສາຫະກໍາອື່ນໆຕ້ອງມີພື້ນຖານການສົນທະນາກັບຫົວຂໍ້ຕ່າງໆໃນການຮັກສາຄວາມປອດໄພຂອງຂໍ້ມູນ, ຍ້ອນການເປີດເຜີຍທາງດ້ານການເງິນ.

ຄວາມລົ້ມເຫລວທີ່ເພີ່ມຂຶ້ນແລະຄ່າໃຊ້ຈ່າຍຂອງການລະເມີດຂໍ້ມູນຄວາມປອດໄພທີ່ສໍາຄັນ, ເຊິ່ງມີຜົນກະທົບຕໍ່ທະນາຄານ, ບໍລິສັດການລົງທຶນ, ໂປແກຼມຊໍາລະເງິນເອເລັກໂຕຣນິກ, ເຄືອຂ່າຍບັດເຄຣດິດ, ຄ້າຂາຍຄ້າປີກແລະອື່ນໆ, ເຮັດໃຫ້ພື້ນທີ່ນີ້ມີຄວາມສໍາຄັນຫນ້ອຍທີ່ຈະປະເມີນມື້ນີ້.

ບັນຫາດ້ານຄວາມປອດໄພດ້ານຂໍ້ມູນ:

ຄວາມປອດໄພດ້ານຂໍ້ມູນສໍາລັບບໍລິສັດທີ່ຍອມຮັບການຊໍາລະເງິນຜ່ານບັດເຄຣດິດແລະບັດເດບິດມີການດູແລຢ່າງຫຼວງຫຼາຍກ່ຽວກັບການເລືອກເອົາໂປແກຼມຊໍາລະເງິນເອເລັກໂຕຣນິກ. ມີຫລາຍຮ້ອຍບໍລິສັດໃນທຸລະກິດທຸລະກິດນີ້, ແຕ່ມີພຽງແຕ່ກຸ່ມທີ່ໄດ້ຮັບການປະເມີນ PCI ຕາມມາດຕະຖານຄວາມປອດໄພຂອງຄະນະກໍາມະການຊໍາລະເງິນ. ຜູ້ອອກບັດເຄດິດທີ່ສໍາຄັນ (ວີຊ່າ, MasterCard, ແລະອື່ນໆ) ມັກຈະພະຍາຍາມຊີ້ນໍາບໍລິສັດຕໍ່ການໃຊ້ໂປແກຼມຊໍາລະສະເພາະ PCI ເທົ່ານັ້ນ.

ການຮັກສາຄວາມປອດໄພຂອງຂໍ້ມູນກ່ຽວກັບສະຖານທີ່ຂາຍບັດເຄຣດິດແລະບັດປະຈໍາຕົວເຊັ່ນບັດເງິນຝາກທະນາຄານ, ປັ໊ມກ໊າຊແລະຕູ້ເອທີເອັມແມ່ນມີຄວາມຫຍຸ້ງຍາກແລະສັບສົນໂດຍລະບົບການລັກລ້າຫມາຍເລກບັດແລະ PIN. ຫຼາຍໂຄງການເຫຼົ່ານີ້ນໍາໃຊ້ການຈັດຕໍາແຫນ່ງລັບຂອງ chip RFID (chip ຄວາມຫມາຍຄວາມຖີ່ຂອງວິທະຍາໄລ) ໂດຍໂຈນຂໍ້ມູນຢູ່ທີ່ປາຍເຫຼົ່ານີ້ເພື່ອ "ຂຸດ" ຂໍ້ມູນດັ່ງກ່າວ.

ບໍລິສັດຮັກສາຄວາມປອດໄພ ADT ເປັນຜູ້ຂາຍທີ່ສະຫນອງຊອບແວ Anti-Skim, ເຊິ່ງເຮັດໃຫ້ເກີດການແຈ້ງເຕືອນເມື່ອມີການລະເມີດຂໍ້ມູນຂອງການຮຽງລໍາດັບນີ້. ນອກຈາກນັ້ນ, ຜູ້ກວດສອບຄວາມປອດໄພທີ່ມີຄຸນນະພາບ (QSA) ສາມາດເຂົ້າຮ່ວມການສໍາຫຼວດຄວາມສັບສົນຂອງບໍລິສັດຕໍ່ການລະເມີດຄວາມປອດໄພຂອງຂໍ້ມູນເຫຼົ່ານີ້.

ຄວາມປອດໄພຂອງຂໍ້ມູນສ່ວນຫຼາຍແມ່ນຂຶ້ນຢູ່ກັບຄວາມປອດໄພທາງດ້ານຮ່າງກາຍຢູ່ສູນຂໍ້ມູນ. ນີ້ປະກອບມີການຮັບປະກັນວ່າບຸກຄົນທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດຖືກເກັບໄວ້. ນອກຈາກນັ້ນ, ເຈົ້າຫນ້າທີ່ທີ່ຖືກອະນຸຍາດບໍ່ສາມາດອະນຸຍາດໃຫ້ເອົາເຄື່ອງແມ່ຂ່າຍ, ເຄື່ອງຄອມພິວເຕີ້, ເຄື່ອງຄອມພິວເຕີ້, ແຜ່ນດິດ, ແຜ່ນ, ເຄື່ອງພິມ, ອື່ນໆ, ມີຂໍ້ມູນທີ່ລະອຽດອ່ອນຈາກສະຖານທີ່ຂອງບໍລິສັດ. ເຊັ່ນດຽວກັນ, ການຄວບຄຸມຄວນຈະຢູ່ໃນສະຖານທີ່ເພື່ອປ້ອງກັນການເບິ່ງຂໍ້ມູນທີ່ບໍ່ເຂົ້າໃຈຂອງເຈົ້າຫນ້າທີ່ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດທີ່ບໍ່ຈໍາເປັນໃນການປະຕິບັດຫນ້າທີ່ຂອງເຂົາເຈົ້າ.

ນອກເຫນືອຈາກໂປຣແກຣມແລະຂັ້ນຕອນການຮັກສາຄວາມປອດໄພກ່ຽວກັບສະຖານທີ່ຂອງບໍລິສັດຂອງທ່ານ, ການປະຕິບັດຂອງຜູ້ຂາຍພາຍນອກຂອງການປຸງແຕ່ງຂໍ້ມູນແລະການບໍລິການສົ່ງຕ້ອງຖືກກວດສອບຢ່າງລະອຽດ. ຕົວຢ່າງ: ຖ້າບໍລິສັດຂອງບໍລິສັດທີສາມເປັນເຈົ້າພາບເວັບໄຊທ໌ຂອງບໍລິສັດຂອງທ່ານ, ທ່ານຕ້ອງກັງວົນກ່ຽວກັບຂັ້ນຕອນການຮັກສາຂໍ້ມູນຂອງມັນ. ການຮັບຮອງ SAS-70 ແມ່ນມາດຕະຖານທົ່ວໄປສໍາລັບຂັ້ນຕອນການຮັກສາຄວາມປອດໄພຢ່າງພຽງພໍກ່ຽວກັບເຄືອຂ່າຍພາຍໃນ, ທີ່ຕ້ອງການໂດຍກົດຫມາຍ Sarbanes-Oxley ສໍາລັບບໍລິສັດເຕັກໂນໂລຢີຂໍ້ມູນຂ່າວສານສາທາລະນະ.

ການນໍາໃຊ້ໂປຣແກຣມ SSL ແມ່ນມາດຕະຖານສໍາລັບການຈັດການຂໍ້ມູນທີ່ລະອຽດທີ່ປອດໄພອອນໄລນ໌, ເຊັ່ນການປ້ອນຂໍ້ມູນບັດເຄຣດິດໃນການຈ່າຍເງິນສໍາລັບການໂອນ.

Network Security Practices Best Practices:

ດ້ານທີ່ສໍາຄັນຂອງການຮັກສາຄວາມປອດໄພຂອງເຄືອຂ່າຍທີ່ມີຜົນກະທົບຕໍ່ຄວາມປອດໄພຂອງຂໍ້ມູນແມ່ນການປົກປ້ອງຕໍ່ແຮກເກີແລະໄພນໍ້າຖ້ວມຂອງເວັບໄຊທ໌ຫລືເຄືອຂ່າຍ. ທັງກຸ່ມເຕັກໂນໂລຢີຂໍ້ມູນໃນບ້ານຂອງທ່ານແລະຜູ້ໃຫ້ບໍລິການອິນເຕີເນັດຂອງທ່ານ (ISP) ຕ້ອງມີການປະຕິບັດຕາມທີ່ເຫມາະສົມ. ນີ້ຍັງເປັນບັນຫາທີ່ກ່ຽວຂ້ອງກັບບໍລິສັດຈັດການເວັບໄຊທ໌ແລະບໍລິສັດການປຸງແຕ່ງການຊໍາລະເງິນ. ຜູ້ຂາຍພາຍນອກທັງຫມົດເຫຼົ່ານີ້ຕ້ອງໄດ້ສະແດງໃຫ້ເຫັນການປົກປ້ອງທີ່ພວກເຂົາມີ.

ອີກເທື່ອຫນຶ່ງ, ການປະຕິບັດທີ່ດີທີ່ສຸດທີ່ລະບຸເຄືອຂ່າຍຂໍ້ມູນຂອງບໍລິສັດເອງ, ສູນຂໍ້ມູນ, ແລະການຄຸ້ມຄອງຂໍ້ມູນແມ່ນສິ່ງດຽວກັນທີ່ທ່ານຄວນຢືນຢັນຢູ່ໃນສະຖານທີ່ທັງຫມົດຜູ້ຂາຍພາຍນອກຂອງການປຸງແຕ່ງຂໍ້ມູນ, ການປຸງແຕ່ງການຈ່າຍເງິນ, ການເຊື່ອມຕໍ່ເຄືອຂ່າຍແລະບໍລິການເວັບໄຊທ໌.

ກ່ອນທີ່ຈະເຂົ້າສູ່ສັນຍາໃດໆກັບຜູ້ໃຫ້ບໍລິການທີສາມ, ທ່ານຄວນກວດເບິ່ງວ່າມັນມີໃບຢັ້ງຢືນຂັ້ນຕ່ໍາທີ່ເຫມາະສົມຈາກຫນ່ວຍງານຕ່າງປະເທດທີ່ເປັນເອກະລາດ (ດັ່ງທີ່ໄດ້ກ່າວໄວ້ຂ້າງເທິງ) ແລະດໍາເນີນຄວາມດຸຫມັ່ນຂອງທ່ານເອງໂດຍຜູ້ບໍລິໂພກເຕັກໂນໂລຢີຂອງບໍລິສັດຂອງທ່ານເອງ ຫຼືໂດຍທີ່ປຶກສາພາຍນອກທີ່ມີຄຸນວຸດທິ.

ເປັນການພິຈາລະນາສຸດທ້າຍ, ມັນເປັນໄປໄດ້ທີ່ຈະຊື້ປະກັນໄພຕໍ່ຄ່າໃຊ້ຈ່າຍທີ່ກ່ຽວຂ້ອງກັບການລະເມີດຄວາມປອດໄພຂອງຂໍ້ມູນ. ຄ່າໃຊ້ຈ່າຍດັ່ງກ່າວລວມມີຄ່າປັບໄຫມແລະການລົງໂທດທີ່ເກີດຂື້ນໂດຍເຄືອຂ່າຍບັດເຄຣດິດ (ເຊັ່ນ Visa ແລະ MasterCard) ສໍາລັບຄວາມລົ້ມເຫລວດັ່ງກ່າວ, ລວມທັງຄ່າໃຊ້ຈ່າຍທີ່ພວກເຂົາກໍານົດໃສ່ຜູ້ອອກບັດ (ສ່ວນຫຼາຍແມ່ນທະນາຄານ, ສະຫະພັນສິນເຊື່ອແລະບໍລິສັດຫຼັກຊັບ) ເພື່ອຍົກເລີກບັດເຄດິດແລະບັດເດບິດ. , ອອກໃຫມ່ແລະສ້າງສະມາຊິກບັດທັງຫມົດເນື່ອງຈາກການລະເມີດທີ່ເກີດຈາກບໍລິສັດຂອງທ່ານ, ຄ່າໃຊ້ຈ່າຍທີ່ພວກເຂົາຈະພະຍາຍາມທີ່ຈະຄິດໄລ່ກັບບໍລິສັດຂອງທ່ານ.

ການປະກັນໄພດັ່ງກ່າວບາງຄັ້ງສາມາດສະຫນອງໃຫ້ໂດຍບໍລິສັດການປຸງແຕ່ງການຊໍາລະເງິນ, ເຊັ່ນດຽວກັນກັບທີ່ມີຢູ່ຈາກບໍລິສັດປະກັນໄພໂດຍກົງ. ການພິມທີ່ດີໃນນະໂຍບາຍດັ່ງກ່າວສາມາດລາຍະລະອຽດໄດ້, ດັ່ງນັ້ນການຊື້ປະກັນໄພດັ່ງກ່າວຮຽກຮ້ອງໃຫ້ມີການດູແລຢ່າງຫຼວງຫຼາຍ.

_{ແຫຼ່ງທີ່ສໍາຄັນ: "ການຂົ່ມຂືນຂໍ້ມູນ," Forbes , 7/18/2011.}