PCI-DSS Compliance Support

Risques opérationnels associés aux fuites de données

L'Union européenne la protection des données – l'autorité de contrôle indépendante chargée de l'UE pour la protection des données à caractère personnel au sein de l'UE – a récemment poussé à la directive "vie privée et de l'UE d'être modifié afin de prévoir une exigence pan-européenne de données notification des violations. En parallèle, le Royaume-Uni Commissaire à l'information, qui est chargé d'appliquer la Loi au Royaume-Uni, a reçu des pouvoirs de percevoir des «substantielle» des amendes dans les cas où le Royaume-Uni Data Protection Act a été «insouciance» pris en considération.

Modifications de la réglementation de sécurité des données sont inévitables après douze mois de titres de la presse de plus en plus dramatiques sur les échecs de sauvegarder les enregistrements de données personnelles, y compris le Royaume-Uni HMRC CD-Rom fiasco, le vol prolongée des documents TJX carte de crédit, et des incidents comme l'infiltration de hacker la base de données client d'un Hôtel Best Western Berlin.

En France, l'Allemagne, l'Espagne, le national commissaires à la protection des données ont intensifié leurs activités d'application, qui prévoit des amendes de plus en plus importante pour non-conformité. Organisations maintenant un besoin urgent d'évaluer la taille de l'émission, l'impact potentiel sur leur organisation d'une violation de données, et les mesures pratiques pour atténuer les données violation des risques.

L'an dernier, la gouvernance des TI manquements Rapport de données a déclaré que les violations de données spectaculaires ne sont pas causés par le délit d'un employé subalterne, mais se posent, plutôt, de l'inadéquation des arrangements systémique sécurité de l'information dans les organisations où l'incident se produit.

Une violation de données est «la divulgation non autorisée par un organisme de renseignements personnellement identifiables, que cette divulgation ne compromet la sécurité, la confidentialité, l'intégrité ou des données qui ont été divulgués. qui peut survenir par salarié du fait des fuites de données, Hacking causée par un manque d', ou inefficaces, les tests de pénétration ou de piratage éthique activités, ou le vol ou la divulgation volontaire.

Le Attritiondatabase montre une multiplication par dix du nombre de violations de données signalées – aux États-Unis, le Royaume-Uni et à travers Europe – depuis 2004. Les pics de violations de données rapportées à la suite de la divulgation des manquements importants à l'échelle nationale tels que la perte de données du Royaume-Uni HMRC, suggère qu'il y avait – et sont probablement toujours – les infractions de nombreuses données qui ne sont pas signalés et la recherche suggère que les organisations sont réticentes à déclarer officiellement les violations de données à moins qu'ils n'aient déjà été exposés. Les données suggèrent que l'attente d'être découvert, c'est pas la meilleure stratégie

La protection des données reçoit autant d'attention pour trois raisons:

1. Identifiez- le vol est un faible risque, l'option de rendement élevé pour le crime organisé. la criminalité traditionnelle, y compris les vols avec violence et le vol, comporte des risques clairement identifiables. Il est facile d'être enregistrées en vidéo par télévision en circuit fermé, vu par des témoins ou capturés par des moyens de l'ADN, et les rendements sont relativement faibles. Technologie haut taux de criminalité, d'autre part, crée de réels problèmes pour la police [3] et est, à l'inverse, un risque relativement faible pour les criminels. Les facteurs contributifs comprennent l'anonymat de l'auteur, la vitesse à laquelle les infractions peuvent être commises, la volatilité ou éphémère des éléments de preuve, la nature trans-juridictionnelles de la cybercriminalité et les coûts élevés de l'enquête.
2. Juridiques et les initiatives de conformité réglementaire, telles que la directive européenne de protection des données et la loi californienne de violation des données d'information, SB1386, ont formalisé la notion à la fois que les données personnelles doivent être protégées par la loi, et introduit des sanctions pour avoir omis de le faire. Les récentes modifications à la loi britannique sur la protection des données (LPD), et des changements aux activités de réglementation dans l'UE que sont l'introduction d'importantes sanctions financières pour non-respect de la directive, en font un particulier question urgente pour les organisations britanniques.
3. La prolifération des dispositifs de stockage de données mobiles – ordinateurs portables, clés USB, PDAs – a modifié les limites de l'endroit où nous stockons nos données et a effectivement éliminé "fortifications fixes» comme un outil efficace pour prévenir les violations de données.

Le dernier Ponemonreport a déclaré que «l'investissement nécessaire pour empêcher une violation de données est amoindri par les coûts résultant d'une violation »et« le retour sur investissement (ROI) et la justification des mesures de prévention est «claire.

Coûts des violations de données – les frais juridiques, les frais de restitution, dommages de marque, perte de clients et ainsi de suite – sont importantes, car les organisations de services financiers, il était d'environ £ 55 par enregistrement compromis.

Bien que ne comportant pas de respect de la loi, si une organisation a un crédit d'infraction relative aux cartes de données et se trouve pas dans le respect avec le Payment Card Industry Data Security Standard (PCI DSS), il ya potentiellement sévères pénalités contractuelles et financières, y compris un bar sur l'entreprise d'accepter les cartes de paiement.

Tous ces facteurs font de la protection des données à caractère personnel d'une entreprise clé et la responsabilité de la conformité. Il ya neuf étapes clés que chaque organisation doit:

1. Crypter toutes les données personnelles sur des ordinateurs portables; Whole Disk Encryption est une solution plus sûre que le niveau de cryptage dossier ou un fichier, et la norme FIPS 140-2 est la norme reconnue pour les moteurs de chiffrement.
2. Crypter tous les supports amovibles et portables qui peuvent contenir des données à caractère personnel, y compris les lecteurs USB, CD-ROM et bandes magnétiques de sauvegarde.
3. Mettre en place des procédures rigoureuses pour assurer la destruction physique des disques durs d'ordinateurs redondants, de supports magnétiques et les documents papier avant leur élimination, et de veiller à ce que les cessions sont prises en conformité avec un calendrier de conservation des données officielles.
4. Organisations qui acceptent les cartes de paiement de crédit et d'autres devraient également se conformer à la norme PCI DSS.
5. Offrir une formation régulière et de sensibilisation sur les responsabilités légales pour tous les employés qui traitent avec les personnels données.
6. Déployer canal passif lié (e-mail, messagerie instantanée) avec un logiciel de filtrage des dictionnaires personnalisés pour les lois pertinentes comme la protection des données, PCI, etc
7. Établir un programme de la vulnérabilité et mettre en œuvre correctifs logiciels anti-malware.
8. Mettre en œuvre une politique commerciale axée sur le contrôle d'accès, combinée à un bon d'authentification.
9. Élaborer un plan de gestion des incidents qui permet l'organisation de répondre

About the Author

James Tanner is an analyst at Orthus limited (http://www.orthus.com). Orthus is a leading provider of information risk professional services, helping orgnisations globally to measure, minimise and manage the information risks they face. Orthus provide end to end services for clients to comprehensivly address risk in their environments including Insider Threats, addressing issues including data leakage, sabotage and fraud; External Threats including penetration testing, virtualisation security, vulnerability management and Secure Software Development Life-Cycle; Supply Chain Threats including securing cloud services and data processed by third parties; and Legal and Regulatory challenges (http://www.orthus.com/grc_overview.htm) including Payment Card Industry (PCI) Data Security Standard (DSS).

PCI DSS.mov