Le standard PCI DSS - Besoin de conseils un peu plus?

Combien coûte la conformité PCI?

La première question que toute organisation se poser des questions sur la conformité PCI est «Combien ça coûte?" (La deuxième question étant généralement «Qu'est-ce qui se passe si nous n'obtenons pas nous conformer?", Mais nous pouvons revenir à cette question plus tard).

La question du coût est une bonne question à poser à l'avant, mais comme vous avez déjà découvert, celui qui est très difficile d'obtenir une quinte (et fiable!) Réponse.

En fait, un article paru récemment dans le magazine Secure Computing basée sur des recherches d'un vendeur et un organisme de recherche indépendant a effectué. La prémisse de l'article était que la «moyenne» coût de la conformité a été généralement 4M £ plus cher que ne pas être conforme, basée sur le coût moyen d'atteindre la conformité étant 2M £, tandis que le coût de la non-conformité était de £ 6 millions.

Vous pourriez suggérer que, pour les fournisseurs de produits dans le marché, ce sont d'excellentes nouvelles et plus qui ont un intérêt direct dans la prise de choses semblent plus compliquées et donc plus cher que ce qu'ils sont. Puis il ya aussi la question de la nécessité d'utiliser un assesseur de sécurité qualifié ou QSA. Un QSA est formé et accrédité par le PCI Security Standards Council, de sorte que leur connaissance est excellent, mais il vient à un prix.

Inversement, il ya beaucoup de conseils gratuits disponibles sur le site Web du PCI Security Standards Council (et de vendeurs aussi), donc vous pouvez vous procurer instruits et dans le contrôle de votre programme de conformité PCI organisations avant d'engager les services d'un QSA.

Quel est le coût de la non-conformité avec le PCI?

Bien sûr, il ya une autre dimension à la question «Combien coûte la conformité PCI? Vous pourriez plutôt demander «Qu'est-ce qui se passe si nous n'obtenons pas conforme aux normes PCI?

Une approche consiste à évaluer combien votre marque et la réputation vaut la peine? Si votre entreprise défraye la chronique pour de mauvaises raisons dues à une rupture - et il sera désormais presse grand public, pas seulement la presse informatique ou l'industrie de détail -, alors les clients vont penser deux fois avant de remettre les détails de carte de paiement pour vous.

Par conséquent, il ne s'agit pas seulement des amendes, le coût et les tracas d'une enquête médico-légale de vos mesures de sécurité, ou même le risque d'augmentation des frais de transaction et plus la pression de vérification exigeants. Il ya maintenant un nombre croissant d'États américains apportant dans la législation, comme dans le Nevada où la SB 227 Modification stipule expressément l'obligation de se conformer à la norme PCI-DSS. De même au Royaume-Uni, le Bureau d'information des commissaires sera bien toute organisation qui se trouve être en violation de la loi britannique de protection des données qui oblige les organisations à protéger les informations personnelles des clients.

L'essentiel est que si votre organisme perd renseignements personnels des clients cela va entraîner exactement le mauvais type de publicité. Un client peut facilement annuler une carte de crédit et obtenir un nouveau numéro, mais si vous perdez leur adresse et date de naissance, cela est impossible à réinitialiser, et ils ne vous en remercier!

Quels sont les avantages de la conformité PCI?

Où est l'envers? En ce qui concerne une solution PCI Log Management, ce ne sera pas seulement de fournir un système d'alerte avancée de la sécurité mais qui peut aussi vous alerter de l'imminence problème matériel. Combien vaut-elle savoir à l'avance que vous avez besoin pour remplacer ce disque dur jusqu'à ce avant qu'elle ne fait le samedi avant Noël!

La norme PCI DSS fournit également un bien pensée et la politique complète de sécurité hors-the-shelf, avec une industrie du prêt-rendu mature et base de connaissances de tirer parti de qui peut doubler pour régir les renseignements personnels aussi. D'autres industries sont d'essayer d'adopter ISO27K mais cela ne suffit pas de le pedigree ou la maturité de la norme PCI DSS.

Eduardo Perez est maintenant président du Conseil de sécurité PCI. Perez a été en vedette dans le magazine Secure Computing en précisant qu'il voulait dissiper les «attendre et voir" mentalité de nombreux commerçants en disant que, malgré ce que vous allez continuer à lire, il n'ya tout simplement pas de magie ou même des balles d'argent pour la norme PCI DSS. Le message était clair - Oubliez «acheter» une solution off-the-shelf à la norme PCI DSS.

Les commerçants sont informés qu'ils auront besoin de travailler à atteindre la conformité PCI et autant que vous pouvez automatiser certains aspects et d'acheter des produits pour d'autres exigences telles que la gestion et le journal des événements de contrôle d'intégrité de fichiers, vous serez toujours obligé d'adopter toutes les dimensions de meilleures pratiques dans la gestion de la sécurité. Ceci signifie enlever toute la complaisance d'être conforme ou couper les coins - la norme PCI DSS devrait être un facteur omniprésent dans toutes les fonctions et les services de toute organisation utilisant les données de paiement détenteur de la carte.

Attendez tokenisation et le cryptage P2P d'être embrassé par le Conseil de sécurité PCI, mais ne vous attendez pas toute détente d'autres mesures - ils veulent plus de couches de protection, avec plus de deux chèques, des filets de sécurité et le bon vieux sens commun façonné. Par exemple, il y aura toujours un besoin pour un logiciel de surveillance pour assurer l'intégrité des fichiers d'applications de chiffrement n'ont pas été compromis, couplé avec un logiciel de gestion des journaux pour suivre tout accès ou des changements aux systèmes.

Quelques conseils de nos clients, collègues et nous QSA

Ne laissez pas les vendeurs et les fournisseurs ou même votre QSA vous dire ce que vous devriez faire et acheter - s'éduquer. Il ya beaucoup de conseils gratuits autour, notamment de la part du Conseil de sécurité PCI-mêmes.

Ne présumez pas que vous devez dépenser sacs d'argent sur les produits et le remplacement de tout ce que vous avez - de réorganiser votre réseau afin de réduire la portée, recycler - utiliser votre pare-feu plus de segmenter votre réseau et de réduire la portée, l'utilisation de vos processus et procédures existantes, mais simplement de formaliser et de documenter, et de réduire votre utilisation de données de la carte, si possible, de réduire ceux qui ont accès aux données

Cherchez victoires rapides - la gestion des journaux contemporains et des systèmes intelligents de piste de vérification peuvent être appliquées rapidement et même fichier de contrôle d'intégrité, toujours vu dans le passé comme étant complexe et coûteux sont maintenant abordables et automatisée

prendre vos propres décisions au sujet des risques et le potentiel de vol, puis validez par QSA - ne pas demander des conseils, sauf nécessité absolue


Source de l'article: http://EzineArticles.com/6426672