Varför du behöver rapportera cyberattacker

Kraven från Betalningskortbranschens säkerhetsstandard (PCI DSS)bör anses vara utgångspunkten för säkerhet. Standarden täcker inte allting som organisationer kan göra för att skydda personuppgifterna på betalningskorten men det täcker allt som de bör göra som tex. införa tillämpliga rutiner, policyer och arbetspraxis.

Många organisationer ser fortfarande inte på PCI DSS på det sättet: Majoriteten misslyckas med sin ursprungliga bedömning eller så tar de steget bort från efterlevnad mindre än ett år efter att den uppnåtts. Fastän de flesta vaksamma organisationer går längre och lite till, står det klart att majoriteten i första hand behöver fokusera på Standarden.

Denna blogg ger en närmare syn på PCI DSS med rådet att medverka till att uppfylla dess krav.

Omfattningen av din kortinnehavares datamiljö

Du kan minska stressen på din organisation genom att begränsa din kortinnehavarens datamiljö (CDE) dvs. platser där känslig information förvaras. PCI DSS kräver att organisationerna vidtar specifika åtgärder för att skydda sina CDE och det är klart fördelaktigt att göra dem så små som möjligt.

För att göra detta bör du minimera behandling och överföringsaktiviteter till vad som är absolut nödvändigt. Du kommer att kunna identifiera vad som är väsentligt genom att analysera sättet som datan flödar genom din organisation. Detta kräver en aktuell nätverksdokumentation och dokumentation av organisationens processer.

Du börjar med där datan matas in i din organisation tex. genom Internet och in i nätverket eller via telefonlinjer, postsystemet eller via fax. Du följer förflyttning av data från ingångspunkten, genom organisationen till slutpunkten eller till förstöring. Detta kommer att hjälpa dig att identifiera komponenterna som ingår i behandlingen, förvaring och transferering av kortinnehavarens personuppgifter.

Denna analys bör täcka både aktivt dataflöde och behandling och förvaring av säkerhetskopierad data.

Hantering av kortinnehavarens personuppgifter

Systemet innehåller kortinnehavarens personuppgifter inklusive inte bara hårdvara och mjukvara utan allting med anknytning till CDE. Detta omfattar anställda som hanterar datan, telefonsamtal, post, fax, underhåll av infrastruktur och administration av servers. Det täcker även tredje parter (tex. tjänsteleverantörer som behandlar, förvarar eller överför kortinnehavarens personuppgifter för din räkning. Ta exempelvis IT supportpersonal som har administratörs rättigheter till firewalls, routers och servers.

Där data inte finns

Du måste fokusera på var du förväntar att kortinnehavarens personuppgifter förvaras men du måste också ta dig tid att säkerställa att personuppgifterna inte döljs på osannolika platser. Exempelvis kanske en dataanalysperson gjorde ett Excel-ark innehållande känslig information och kvarlämnade den i sin bordsdator.

För att säkerställa att din analys är noggrann behöver du tillämpa datasökningstekniker. Varje identifierad plats bör matcha resultatet i dataflödesanalysen. Eventuella felaktigheter visar att kortinnehavarens data förvaras på oidentifierade platser som inte är den del av ett normalt dataflöde.

Upprätthålla dokumentering

 

Det är uppenbart viktigt att dokumentera dina policyer och rutiner men det är minst lika viktigt att hålla dem uppdaterade och att de är formellt godkända. Det kan vara tidskrävande och utmanande och därför har vi skapat vår PCI DSS Verktygssats för dokumentation för att förenkla detta arbete.

Denna verktygssats innehåller en dokumentkontrollenhet för att hjälpa dig att välja och redigera lämplig policy för att du ska kunna upprätta och korrigera dokument allt efter behov.

Den stöder alla frågeformulär för egenbedömning oavsett dina specifika betalningsscenarier. Den är helt anpassad till PCI DSS v3.2 för att du ska vara säker på att dina policyer är korrekta och överenstämmande med Standarden.

Verktygssatsen innehåller även en uppsättning verktyg för projektledningen enligt matrisen för roller och ansvar, ett verktyg för glappanalys och en omfångsguide.

Ta en kostnadsfri testversion av vår PCI DSS verktygssats för dokumentering >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.