Da immer mehr Regulierung und Aufsicht global umgesetzt wird , wird die Notwendigkeit für das Verständnis Compliance-Richtlinien und Verfahren sogar noch wichtiger. Zwei kritische Compliance-Richtlinien sind die Payment Card Industry Data Security Standard ( PCI -DSS ) und der North American Electric Reliability Gesellschaft Critical Infrastructure Protection ( NERC - CIP). Beide beinhalten IT-Sicherheit und der Schutz des Vermögens , wenn auch in verschiedenen Branchen. VISA, American Express, Discover, MasterCard und JCB (Japan Credit Bureau) : PCI- DSS
PCI - DSS-Anforderungen im Jahr 2006 als eine kollektive Gruppe von Politik durch fünf große internationale Handelsketten elektronische Zahlungen Netzwerke erforderlich verschmolzen . Die 12 Anforderungen von PCI DSS - Unternehmen in der Finanzbranche , die Geschäfte mit einer dieser fünf großen Kreditkarten-Unternehmen und die entweder verarbeiten, übertragen oder speichern Kreditkartennummern (auch als " Karteninhaber -Daten" genannt) gelten . Der Anstoß für PCI -DSS ist es, Schutz gegen Identitätsdiebstahl bieten .
NERC -CIP
Die CIP Standards NERC beauftragt sind, um beizutragen, dass die nordamerikanischen Netz. Stromerzeugenden Versorgungsunternehmen und Macht Wiederverkäufer unterliegen diesen Standards . Die 18 Standards (nicht alle Unternehmen unterliegen alle Standards ) sind ähnlich wie PCI -DSS , da regieren sie , wie ein Netzwerk konfiguriert werden soll und wo kritische Cyber Vermögenswerte sind gelegen und abgerufen werden (im Gegensatz zu Daten von Karteninhabern Gegensatz . )
Strafen für die Nichteinhaltung
Die Strafen für Nichteinhaltung der PCI -DSS erfüllen sind einfach: wenn ein Unternehmen gefunden, dass aus Compliance , werden sie ihre Geschäftsbeziehung mit VISA, Mastercard, etc. Für Unternehmen, deren Geschäft ist die Verarbeitung finanzieller Transaktionen zu verlieren, wird ihre Lebensgrundlage weggenommen. NERC Instituten finanzielle Sanktionen für die Unternehmen gefunden, nicht in Übereinstimmung zu sein. Geldbußen können kann so hoch wie $ 1 Million pro Tag für die Unternehmen egregiously von Compliance.
Andere Compliance Policies and Procedures
Es gibt mehrere andere Standards , Anforderungen, Richtlinien und Verfahren, Organisationen folgen, um Daten in diesem elektronischen Zeitalter schützen müssen . Einige von ihnen gehören :
- Sarbanes- Oxley (SOX) : . Vereinigte Staaten Bundesregierung Leitlinien für Rechenschaftspflicht mit Unternehmensfinanzen und Wirtschaftsprüfung - Statement on Auditing Standards Nr. 70 ( SAS70 ) : Auditing Standards für Wirtschaftsprüfer . Diese Standards sind auf die finanzielle als auch die IT-Sicherheit Branchen gelten - Health Insurance Portability and Accountability Act (HIPAA ) : . . United States Richtlinien des Bundes darzulegen, wie medizinische Dienstleister und andere müssen eines Patienten medizinische Daten schützen
Wie
Typischerweise entspricht, gibt es zwei Teile Passieren einer PCI -DSS oder NERC -CIP Compliance Audits: Dokumentation und technische Umsetzung . Der letzte Teil von einer Organisation der IT-Abteilung mit der Führung in der Regel von einem Wirtschaftsprüfer ( " QSAs ", in der PCI -DSS- Welt) getan . Die Dokumentation wird in der Regel durch technische Autoren behandelt , aber diese Standards sind so relativ neu, dass es schwer ist, ein Schriftsteller, der hat eigentlich Erfahrung schriftlich an dieser Politik zu finden. Der PCI- Guy , online unter http://www.thepciguy.com , ist eine technische Dokumentation Beratungsunternehmen, das schriftlich PCI -DSS , NERC -CIP und SOX-Compliance Dokumentation spezialisiert .
