Verizon: Kredi kartı düzenlemelerine uyum azaldıkça siber güvenlik riski de artıyor

Güvenlik uzmanı Frank Abagnale: Banka kartını bırakın ve kredinizi dondurun Con man siber güvenlik uzmanı Frank Abagnale, TechRepublic'den Karen Roby ile insanların kimliklerini korumak ve daha iyi kredi uygulamalarını teşvik etmek için atabileceği adımlar hakkında konuşuyor.

Geçmişte, neredeyse tüm işletmeler çekleri aldı ve hepsi nakit ödemeleri memnuniyetle kabul etti. Mağazalar, kredi kartlarını kabul ettiklerine dair sözleriyle müşterilere çağırarak promosyon çıkartmaları yerleştirmeye başladı.

Şimdi, bazı mağazalar nakit kabul etmiyor ve kredi ve banka kartlarından başka bir şey almıyor. Giderek daha fazla sayıda yer Apple Pay veya Samsung Pay'ı mobil ödeme olarak kabul ediyor. Bazı satıcılar PayPal ödemelerini bile kabul eder ve yalnızca bir müşterinin ödemesinin geçmesini sağlamak için akıllı telefonlarında e-postaları kontrol etmeleri gerekir. Yine de, kredi kartları insanların alışveriş yapmasının en popüler yolu olmaya devam ediyor ve kabul eden her kuruluş ödeme kartı endüstrisi (PCI) standartlarına uymalı ve müşterilerine özel bilgilerini güvende tutacaklarını garanti etmelidir.

2003 yılından bu yana, kuruluşların ödeme kartı endüstrisi düzenlemelerine uymaları ve ödeme kartı veri güvenliği standartlarına göre değerlendirilmeleri gerekmektedir. Ancak birçok kuruluş yıllık doğrulama işlemlerinden geçmektedir, bu nedenle veri koruma ve uyumluluk süreçlerini ve yeteneklerini daha somut bir seviyeye taşımalıdırlar. Veri koruma etkinliğini ve sürdürülebilirliğini ölçmek için sağlam bir stratejinin olmaması, şirketlerin veri koruma arayışında gereksiz bir finansal kayıp yarattı ve bir kuruluşun uyumluluğu sürdürmede daha iyi olmasına izin vermiyor. Bu yaklaşım yanlış bir güvenlik hissine yol açabilir. Birçok kuruluş, yalnızca temel uyumluluk gereksinimlerini karşılamaya odaklanan ve ileriye daha proaktif bir şekilde bakmayan reaktif bir döngüsel kalıpta sıkışmış görünmektedir.

Yeni siber güvenlik uzmanları için 10 ipucu (ücretsiz PDF)

Verizon, son dokuz yıldır, ödeme kartı endüstrisinin düzenleyici yapısı ile Ödeme Kartı Sektörü Veri Güvenliği Standardının değeri ve performansı hakkında derinlemesine bir bakış açısı sağlayan Ödeme Güvenliği Raporu'nu (PSR) yayınladı. (PCI DSS).

PSR'nin 2019 baskısı henüz piyasaya sürüldü ve görünürlük, kontrol ve olgunluğa odaklanıyor ve hedefleri iyileştirmek ve daha iyi veri koruma olgunluğuna sürdürülebilir bir yol tasarlamak için bir uyum programının yeniden düzenlenmesi analizini içeriyor. Ayrıca, önceki PSR'lerin oluşturduğu faktörler üzerine kuruludur.

Anahtar görevler

Verizon, CISO'ların (Baş Bilgi Güvenliği Görevlileri) temel hedefler konusunda rehberlik taleplerini dinledi:

1. Sürdürülebilir kontrol etkinliği

2. Öngörülebilir program performansı ve sonuçları

Rapor ayrıca, uyumluluk yönetimini daha yüksek güvence ve öngörülebilirlik düzeylerine itmek için Verizon 9-5-4 Uyum Programı Performans Değerlendirme Çerçevesi (DCCEF) gibi yeni araçlar da içerir.

2019 ana noktaları

2019 PSR şunları kapsar: mevcut küresel uyumluluk durumu ve kuruluşların PCI DSS uyumluluğunu nasıl sürdürdükleri (ve sürdürmedikleri):

  1. Önemli uyum programı tasarımında dikkat edilmesi gerekenler
  2. Veri ihlali korelasyonu ve olay hazırlığına ilişkin bilgiler
  3. Mobil ödeme güvenlik trendleri
  4. Bir PCI DSS uyumluluk referans takvimi
  5. Olay hazırlık kılavuzu

1999 yılında kurulan PCI DSS, kart sahibi veri koruma programlarını ifade eder. Visa, 2004 yılında programını başlattı ve görünüşe göre kuruluşların beş yıl içinde etkili ve sürdürülebilir bir uyum sağlayacağını varsaydı. 2010 yılında Verizon, tam uyumun bir göstergesi olarak ara değerlendirme l sırasında PCI DSS uyumluluğunu ölçerek uyumluluğu koruyan kuruluşların yüzdesini izleyen rapora başladı. Tam uyum 2009'da% 22'den 2011'de% 7, 5'e düşmüştür ve 2016'da% 55, 4'tür.

Aktif uyumlulukta düşük sayılar

Bu yılki rapor, kuruluşların üçte birinden fazlasının (% 36, 7) 2018'de PCI DSS programlarını aktif olarak sürdürdüğünü ortaya koyuyor. Bu düşüş eğilimi (2016'nın söz konusu yüksek seviyesinden) büyük endişe yarattı.

Birçok şirket yalnızca kağıt üzerinde iyi görünen, ancak profesyonel bir güvenlik değerlendirmesinin incelenmesine dayanamayan programlar oluşturur. Yetersiz veya aşırı derecede karmaşık olmayan ve bir veri koruma uyum programı (DPCP) tasarlama, uygulama, izleme ve değerlendirmede yeterlilik eksikliğinden kaynaklanan programlar.

Rapor ayrıca, şirketlerin riski değerlendirmek ve her biri stratejik olarak yürütülen birkaç adım planlamak zorunda olduğu veri koruma stratejisi olduğunu da ortaya koyuyor. CISO'lar, ölçülebilir sonuçlar ve öngörülebilir sonuçlar elde etmelerine yardımcı olmak için açık ve anlaşılması kolay bir navigasyon rehberine ihtiyaç duyar.

Kuruluşların kontrol ortamındaki değişikliklere etkili bir şekilde tepki verebilmesi gerekir. Uyum programlarına göre görev tabanlı bir yaklaşımla sınırlı olduğunda bunu yapmak zordur.

Ödeme güvenliğiyle ilgili küresel zorluk, sürdürülebilirlik veya kontrol etkinliğinin doğasında eksiklik değildir. Bunlar yalnızca, sürdürülebilir bir veri koruma uyum programı tasarlama, uygulama, izleme ve değerlendirme konusunda yeterlilik eksikliğinden kaynaklanan yetersiz stratejinin neden olduğu yaygın bir sorunun belirtileridir.

Kontrol hedefleri

İç kontrollerin (ORC) üç temel kontrol hedefi:

  1. Operasyon amaçları Veri koruma ve uyumluluk operasyonlarının etkinliği ve verimliliği
  2. Raporlama hedefleri Veri koruma ve uyumluluk raporlamasının güvenilirliği, güncelliği ve şeffaflığı
  3. Uygunluk hedefleri Düzenlemelere uyum, sadece kağıt üzerinde değil, aynı zamanda hedeflerin etkili bir iç kontrol sistemiyle bir çerçevede gerçekleştirildiğine ve sürdürüldüğüne dair makul bir güvence sağlayan kanıtlara dayandırılmıştır.

Tüm hedef, şirketin müşteriler için kolaylık yaratma, onları geri dönmeye teşvik etme ve yine de ihlal edilemeyecek sıkılığı koruma arzusuna dayanmaktadır.

Kritik sorular

Rapor daha sonra en kritik hedeflere ulaşmak için sormak ve cevaplamak için kritik soruları özetlemektedir:

  • Hangi verileriniz var, nerede ve nasıl akıyor? Tüm verilerinizin nerede olduğunu ve bundan kimin sorumlu olduğunu bildiğinizden emin misiniz? Sahip olduğunuz verileri nasıl takip ediyorsunuz? Korunması gereken tüm verilerin tam olarak nerede olduğunu biliyor musunuz? Ortamınızdaki hassas veri akışları üzerinde ne kadar kontrole sahipsiniz? Tüm yerleri izliyor musunuz? Gerçek zamanda?
  • Yeterince güvende misin? Verilerinizin korunmasından ne kadar eminsiniz? Ödeme kartı verilerinizin güvenli olduğunu nasıl biliyorsunuz? Hangi kanıtlara dayanarak? Bu soruya cevap vermek için hangi metrikleri takip ediyorsunuz? Uyumluluk, verilerinizin gerçekten güvenli olduğu anlamına mı geliyor?
  • Doğru kontrollerin etkili ve doğru yerlerde olduğundan ne kadar eminsiniz? Kontrol tasarım süreciniz gerekli kontrolleri nasıl tanımlar? Kontrollerinizin etkinliği için ne gibi kanıtlarınız var? Tüm kontroller için kontrol etkinliğini ölçüyor musunuz?
  • DPCP performansınız ne kadar tahmin edilebilir? Temel DPCP hedeflerinizin sonucunu ne kadar güvenle tahmin edebilirsiniz ve bunu istediğiniz zaman yapabilir misiniz?
  • Temel veri koruma ve uyumluluk süreçlerinizin kalitesini ve dayanıklılığını nasıl sağlıyorsunuz? Bu süreçlerin nelerden oluştuğunu biliyor musunuz? Temel süreçleriniz ne kadar tekrarlanabilir ve tutarlı? Başarı veya başarısızlığı önceden belli bir dereceye kadar tahmin edebilir misiniz?
  • Politika, standart ve prosedür sapmalarını ne kadar hızlı tespit edip yanıtlayabilirsiniz? Olay tespiti ve olay yanıtı konusundaki beklentileriniz gerçeğe nasıl ulaşıyor? Düzeltici eylemlere yanıt beklentileriniz nelerdir?
  • DPCP uygulama ve olgunluk stratejinizin etkinliğini ölçmek için denetimleriniz var mı? Endüstri çerçevelerine ne kadar iyi uyum sağlar ve kontrol hedeflerinizi karşılayabilir mi? Stratejiniz tüm temelleri kapsıyor mu veya DPCP stratejinizde devam eden boşluklar var mı? Doğru DPCP faaliyetlerine doğru zamanda öncelik verdiğinizi nasıl anlarsınız?
  • Doğru hedeflere öncelik verdiniz mi? Kaynaklar sınırlı olduğundan, ekibinizin doğru görevlere zaman harcadığını nasıl anlarsınız?
  • Organizasyonel Yeterliliğin beş Kısıtlamasını ne kadar iyi yönetiyorsunuz: kapasite, yetenek, yeterlilik, taahhüt ve iletişim? Beş kısıtlamanın her birini yönetme konusundaki kurumsal yeteneğiniz hakkında görünürlüğünüz var mı? Kontrol Korumasının Etkinliği ve Sürdürülebilirliğinin 9 Faktörünü ne kadar iyi anlıyorsunuz? Uzun vadede hangi hedef vade seviyelerine ulaşmak için çalışıyorsunuz?
  • Kontrol etkinliği ve sürdürülebilirliği ile nerede olduğunuzu ve kuruluşunuzun kapasitesinin bir yıl içinde ne olacağını biliyor musunuz?

Bu soruları ele almak ürkütücü görünebilir, ancak bir şirket bu soruların her birini dikkatle inceledikten ve cevapladıktan sonra, uyumu tamamlamak için daha da büyüyecektir.

Siber Güvenlik Insider Haber Bülteni

En son siber güvenlik haberlerini, çözümlerini ve en iyi uygulamalarını takip ederek kuruluşunuzun BT güvenlik savunmasını güçlendirin. Salı ve Perşembe günleri teslim edilir

Bugün kayıt olun

© Copyright 2020 | mobilegn.com