Uma cartilha rápida para profissionais financeiros
A segurança de dados é uma questão importante de preocupação no setor de serviços financeiros, pois está associada a enormes custos financeiros e de reputação em potencial. Crimes cibernéticos que visam as empresas financeiras estão em ascensão.
Assim, a atenção às questões de segurança de dados deve envolver não apenas os membros da equipe de tecnologia da informação , mas também o pessoal de gerenciamento de riscos e conformidade , bem como os membros das organizações controladoras e diretores financeiros.
Além disso, os profissionais de gestão financeira em outras indústrias precisam estar basicamente familiarizados com tópicos de segurança de dados, dadas as exposições financeiras.
O aumento da frequência e do custo de importantes violações de segurança de dados, que afetam bancos, empresas de investimento, processadores de pagamento eletrônico, redes de cartões de crédito, varejistas e outros, torna essa área praticamente impossível de subestimar nos dias de hoje.
Problemas de segurança de dados:
A segurança de dados para empresas que aceitam pagamento por meio de cartões de crédito e débito envolve um grande cuidado com a escolha dos processadores de pagamento eletrônico. Existem centenas de empresas nessa linha de negócios, mas apenas um subconjunto é classificado como compatível com PCI pelo Conselho de Padrão de Segurança da Indústria de Cartão de Pagamento. Os principais emissores de cartões de crédito (Visa, MasterCard, etc.) geralmente tentam direcionar as empresas para o uso de apenas processadores de pagamento compatíveis com PCI.
A segurança de dados em relação ao cartão de ponto de venda e ao processamento de cartões de débito, como caixas registradoras, bombas de gasolina e caixas eletrônicos, está sendo cada vez mais comprometida e complicada por esquemas para roubar números de cartões e PINs. Muitos desses esquemas utilizam o posicionamento secreto de chips RFID (chips de identificação por radiofrequência) por ladrões de dados nesses terminais para "vasculhar" esses dados.
A empresa de segurança ADT é um fornecedor que oferece o software Anti-Skim, que aciona alertas quando são detectadas violações de dados desse tipo. Além disso, um Assessor de Segurança Qualificado (QSA) pode ser contratado para conduzir uma pesquisa sobre a suscetibilidade de uma empresa a esses tipos de violações de segurança de dados.
A segurança de dados geralmente depende da segurança física nos datacenters. Isso envolve assegurar que pessoas não autorizadas sejam mantidas fora. Além disso, não é permitido ao pessoal autorizado remover servidores, laptops, pen drives, discos, fitas, impressões, etc., contendo informações confidenciais de locais da empresa. Da mesma forma, controles devem estar em vigor para proteger contra a visualização de pessoal não autorizado de informações confidenciais que não são necessárias no cumprimento de suas funções.
Além dos protocolos e procedimentos de segurança nas instalações de sua empresa, as práticas de fornecedores externos de serviços de processamento e transmissão de dados devem ser examinadas. Por exemplo, se uma empresa de terceiros hospeda o site da sua empresa, você deve se preocupar com os procedimentos de segurança de dados. A certificação SAS-70 é um padrão comum para procedimentos de segurança adequados em relação a redes internas, exigidos pela Lei Sarbanes-Oxley para empresas de tecnologia da informação de capital aberto.
O uso de protocolos SSL é o padrão para o manuseio de dados confidenciais on-line com segurança, como a entrada de números de cartão de crédito no pagamento de transações.
Práticas recomendadas de segurança de rede:
Os principais aspectos da segurança de rede que afetam a segurança de dados são proteções contra hackers e a inundação de sites ou redes. Tanto o seu grupo interno de tecnologia da informação quanto o seu provedor de serviços de Internet (ISP) devem ter contramedidas adequadas. Esta é também uma questão de preocupação em relação às empresas de hospedagem e processamento de pagamentos. Todos esses fornecedores externos devem demonstrar quais proteções eles possuem.
Novamente, as práticas recomendadas que caracterizam as próprias redes de dados, data centers e gerenciamento de dados de sua própria empresa são as mesmas que devem ser confirmadas em todos os fornecedores externos de processamento de dados, processamento de pagamentos, rede e serviços de hospedagem de sites.
Antes de celebrar qualquer contrato com um fornecedor terceirizado, você deve certificar-se de que possui as certificações mínimas apropriadas de organismos externos independentes (conforme descrito acima) e conduzir sua própria auditoria, conduzida pelo pessoal de tecnologia da informação de sua empresa com as credenciais apropriadas. ou por consultores externos qualificados.
Como consideração final, é possível adquirir um seguro contra os custos associados a violações de segurança de dados. Tais custos incluem as multas e penalidades cobradas pelas redes de cartões de crédito (como Visa e MasterCard) por tais falhas, bem como as despesas que eles impõem aos emissores de cartões (principalmente bancos, cooperativas de crédito e empresas de valores mobiliários) para cancelamento de cartões de crédito e débito. , emitindo novos e tornando membros do cartão inteiros devido a violações causadas por sua empresa, despesas que eles então tentarão cobrar de volta à sua empresa.
Esse seguro pode ser oferecido às empresas de processamento de pagamentos, além de estar disponível diretamente nas companhias de seguros. A boa impressão sobre essas políticas pode ser detalhada, portanto, comprar esse seguro requer muito cuidado.
Principal fonte: "Evitando violações de dados", Forbes , 18/07/2011.