Como mais regulação e supervisão é implementado a nível mundial, a necessidade de compreender as políticas e procedimentos de conformidade se torna ainda mais importante. Duas políticas de conformidade críticos são o Payment Card Industry Standard Data Security (PCI- DSS) eo Norte American Electric Reliability Corporação Protecção das Infra- ( NERC - CIP). Ambos envolvem os ativos de TI de segurança e proteção , ainda que em diferentes indústrias. PCI- DSS
requisitos do PCI -DSS se uniram em 2006 como um grupo coletivo de políticas exigidas por cinco grandes redes internacionais de pagamentos eletrônicos de varejo : Visa, American Express, Discover, MasterCard e JCB (Japan Credit Bureau ) . Os 12 requisitos do PCI- DSS se aplica a empresas do setor financeiro que fazem negócios com um desses cinco grandes empresas de cartão de crédito e que quer processar, transmitir ou números de cartão de crédito da loja (também conhecidos como "dados do titular do cartão " ) . O impulso para PCI- DSS é fornecer garantias contra roubo de identidade.
NERC -CIP
As normas CIP mandatados pelo NERC estão no local para ajudar a proteger o norte-americano sistema de energia . Utilitários de geração de energia e revendedores de energia estão sujeitas a estas normas. Os 18 normas ( nem todas as entidades estão sujeitos a todas as normas ) são semelhantes ao PCI - DSS , na medida em que elas governam como uma rede , deve ser configurado e onde activos virtuais são críticos a ser localizado e acedido ( em oposição ao titular do cartão de dados ),
penalidades pelo não cumprimento
As penalidades por não cumprimento do PCI -DSS são simples : . se uma empresa for considerada de compliance, eles vão perder a sua relação comercial com a VISA, Mastercard, etc Para as empresas cuja actividade está processando transações financeiras , o seu sustento é tirado. Sanções financeiras NERC institutos para as empresas encontraram para não estar em conformidade . As multas podem pode ser tão alta quanto $ 1 milhão por dia para as empresas flagrantemente fora de conformidade .
Outras políticas e procedimentos de conformidade
Existem várias outras normas, requisitos , políticas e procedimentos que as empresas devem seguir para proteger os dados na era eletrônica. Algumas delas incluem :
- Sarbanes -Oxley (SOX) : Estados Unidos diretrizes federais que regem a prestação de contas com as finanças corporativas e auditoria - Statement on Auditing Standards No. 70 ( SAS70 ):. Normas de auditoria para os auditores. Estas normas podem ser aplicadas ao financeiro, bem como as indústrias de segurança - Seguro de Saúde Portabilidade e Accountability Act (HIPAA ) : . Diretrizes federais dos Estados Unidos delineando como prestadores de serviços médicos e outros devem proteger os dados médicos de um paciente
< br. > Como Cumprir
Normalmente, existem duas partes para passar uma PCI- DSS ou auditoria de conformidade NERC -CIP : documentação e implementação técnica. A última parte é feita pelo departamento de TI de uma organização com orientação tipicamente de um auditor ( QSAs " , " no mundo do PCI- DSS). A documentação é geralmente tratado por escritores técnicos , mas esses padrões são tão relativamente nova que é difícil encontrar um escritor que realmente tem experiência de escrever para essas políticas. O PCI Guy , em linha em http://www.thepciguy.com , é uma empresa de consultoria de documentação técnica que se especializou em escrever PCI- DSS , NERC -CIP e SOX documentação de conformidade .