Como una mayor regulación y supervisión se implementa a nivel mundial, la necesidad de políticas y procedimientos de cumplimiento comprensión se vuelve aún más importante. Dos políticas fundamentales de cumplimiento son la Industria de Tarjetas de Pago Data Security Standard (PCI- DSS ) y la American Electric Reliability Corporación de Protección de Infraestructuras Críticas del Norte ( NERC -CIP ) . Ambos implican la seguridad informática y la protección de los activos , aunque en diferentes industrias.
Requisitos PCI -DSS
PCI -DSS
unieron en 2006 como un grupo colectivo de las políticas requeridas por cinco redes electrónicas al por menor internacionales importantes pagos : VISA , American Express, Discover, MasterCard y JCB ( Japan Credit Bureau ) . Los 12 requisitos de PCI -DSS se aplican a las empresas de la industria financiera que hacen negocios con uno de estos cinco principales compañías de tarjetas de crédito y que, o bien procesar, transmitir o almacenar números de tarjetas de crédito ( también conocido como " datos del titular ") . El impulso para PCI -DSS es proporcionar salvaguardias contra el robo de identidad .
NERC -CIP
Los estándares establecidos por NERC CIP están en su lugar para ayudar a proteger el norteamericano sistema de energía . Servicios públicos de generación de energía y revendedores de energía están sujetas a estas normas . Las normas 18 (no todas las entidades están sujetas a todas las normas ) son similares a PCI -DSS , en la medida en que regulan la forma de una red se va a configurar y que los activos cibernéticos críticos se van a instalar y acceder (en comparación con los datos del titular . )
sanciones por incumplimiento
Las sanciones por no cumplir con PCI- DSS es simple: si una empresa se encuentra fuera de cumplimiento, van a perder su relación comercial con VISA, Mastercard, etc Para las empresas cuyo negocio es el procesamiento de transacciones financieras , su medio de vida es quitado. NERC institutos de sanciones financieras para las empresas declaradas de no estar de acuerdo . Las multas pueden pueden ser tan alto como $ 1 millón por día para las empresas notoriamente fuera de cumplimiento.
Otras políticas y procedimientos de cumplimiento
Hay varias otras normas , requisitos, políticas y procedimientos que las empresas deben seguir para proteger los datos en esta era electrónica . Algunos de ellos incluyen :
- Sarbanes -Oxley (SOX ) . Directrices federales de Estados Unidos que regulan la rendición de cuentas de las finanzas corporativas y auditoría - Declaración sobre Normas de Auditoría No. 70 ( SAS70 ) : Las normas de auditoría de los auditores . Estas normas se aplicarán a las industrias de seguridad informática financiera, así como - Portabilidad y Responsabilidad Act ( HIPAA) : . . Directrices federales de Estados Unidos que describen cómo los proveedores médicos y otros deben proteger los datos médicos del paciente
< br > Cómo conformarse
lo general, hay dos partes a pasar un PCI -DSS o NERC -CIP auditoría de cumplimiento : documentación e implementación técnica. La última parte se realiza por el departamento de TI de una organización con la orientación general de un auditor ( " QSA , " en el mundo de PCI -DSS ) . La documentación se maneja normalmente por los escritores técnicos, pero estas normas son tan relativamente nuevo que es difícil encontrar un escritor que en realidad tiene experiencia escribiendo a estas políticas . El individuo PCI , en línea en http://www.thepciguy.com , es una firma de consultoría documentación técnica que se especializa en escribir PCI -DSS , NERC -CIP y la documentación de cumplimiento SOX.