This is a machine translation. The original page (in English) is available here.
Windows
Mac OS
Móvil

Última noticia: 12 de noviembre de 2016 - Hemos encontrado un nuevo indetectable Capturadores de teclado para usted. Feed RSS

Casa>noticias del Mundo>4 Maneras de Conseguir el la Mayoría de Su PCI QSAs

AnyKeylogger para Mac

4 Formas de Conseguir el la Mayoría de Su PCI QSAs

En una entrevista con CSOonline el mes pasado, Heartland payment Systems Inc. CEO Robert Carr arremetieron contra la seguridad cualificado evaluadores (QSAs) que auditar su empresa para PCI cumplimiento de seguridad, alegando que perdió la clave de la red de agujeros que en última instancia habilitada masivas de datos de violación de la seguridad. Los lectores de devolver el golpe, golpeando Carr para no ser propietario de los problemas rampante en su operación de seguridad-por ejemplo, en la lectura de Un Hombre Vista: Heartland CEO Deben Aceptar la Responsabilidad.

Véase también el Corazón CEO en la Violación de los Datos: QSAs Nos defraudará

En respuesta a la respuesta, CSOonline encuestados expertos en seguridad que se han realizado y recibido evaluaciones en un esfuerzo para crear una breve lista de verificación para la obtención de la empresa-QSA relación de la mejor manera posible iniciar. Aquí están cuatro sugerencias:

1. Elija su proveedor sabiamente

Un problema común es que el QSA es elegido también a toda prisa, porque la empresa quiere obtener el proceso con la mayor rapidez posible. El resultado es que la empresa contrata a un asesor que no es tan versado en las cuestiones específicas de su entorno.

Mark Allison, vicepresidente de seguridad de la información en Las Vegas Global de Acceso a dinero en Efectivo, dijo que las empresas deben realizar un concienzudo análisis de todos los QSA proveedores de servicios para asegurar que quien es elegido se especializa en los problemas más comunes en su industria en particular.

"Asegurarse de que el proveedor se ha PYMES que cumplan con sus necesidades y no se alarme si algunos vendedores subcontratar con otras entidades habilitadas para construir una respuesta integral", dijo. "Como tú, profesionales de aprovechar sus fortalezas y apuntalar limitaciones mediante la contratación de experiencia. Haga su tarea y evaluar las credenciales de todos los vendedores y los participantes y comprender cómo se mezclan sus esfuerzos en un plan integral puede llevar a la exitosa ejecución."

2. Sentar las bases

Una cosa que es cierta para obtener de una empresa de evaluación de seguridad de un mal comienzo, es una falta de planificación, Allison dijo. Por lo tanto, se recomienda comenzar con una autoevaluación. De esa manera, la empresa tiene una buena idea de dónde están los puntos débiles antes de que el QSA llega. En el día 1, los administradores de seguridad deben informar a la QSA en todo lo que se sabe hasta que punto. De esa manera, el QSA puede afinar su enfoque en particular las áreas problema y llegar a una mayor productividad, a la acción de la lista.

"Obtener el último cuestionario de autoevaluación de las PCI DSS sitio web," Allison dijo. "Y recuerda que nada menos que la completa sinceridad te impedirá del asesor de la capacidad para realizar su trabajo de manera eficiente y eficaz."

3. Dar el QSA el acceso a los principales jugadores

Otra cosa que puede paralizar el proceso de evaluación es que la empresa intenta limitar el QSAs la exposición a tan pocas personas como sea posible. Esto podría ser debido a que la administración no quiere que el QSA llegar mala dirección de los empleados que no tienen necesariamente una completa comprensión de las cosas. Pero siempre es mejor dar el QSA acceso a todos los actores clave, dijo Daniel Wallace, con sede en Detroit y consultor de seguridad de la información gerente de proyecto. Wallace escribió recientemente un completo post sobre el tema en la Seguridad de la Información de los Recursos del blog.

QSAs se suelen llevar a cabo varias entrevistas con gerentes clave para hacer absolutamente seguro de que cada aspecto de la operación ha sido estudiado en la medida de lo posible. Antes de que el QSA llega, la empresa debe hacer una lista de personas que pueden hacer las entrevistas iniciales. La programación de citas para el QSA del conseguir-ir a la velocidad del proceso en el largo plazo. Una cosa que puede alargar el proceso y es cuando los jugadores clave rompen o se les olvida su cita para la entrevista, Wallace dijo.

4. No tratar el QSA como un enemigo

Otro problema común, especialmente desde la perspectiva de QSAs se acercó para este artículo, es que los evaluadores son a menudo tratados como un acercamiento de la serpiente de cascabel por la empresa que está ahí para su revisión. Esto también es una receta para el fracaso y debe ser evitado a toda costa.

"No hay lugar para el ego," Allison dijo. "El asesor va a encontrar puntos débiles. Superarlo y aprender de ella."

Ver también los PCI de Post-Auditoría de Puntos de Dolor

Ed Moyle, socio fundador de Seguridad de la Curva y el ex vicepresidente de seguridad de la información en Merrill Lynch, ha experimentado los aspectos buenos y malos del proceso de evaluación de ambos lados y está de acuerdo con estas observaciones. Reconoció que las evaluaciones no son siempre tan completa como debería ser y la culpa pertenece normalmente con la compañía y el QSA.

Señaló que la presión es alta para el QSA así como de la empresa, y la presión puede conducir a errores.

"El cliente paga y quiere ser compatibles", dijo. "Usted también tiene grandes entornos complicados, con muchas partes móviles, y hay un montón de oportunidades para pasar por alto las cosas".

Dicho esto, Moyle señaló que mientras más información y acceso a la QSA tiene, mejor es la posibilidad de una completa y exitosa de auditoría que puede prevenir una violación de los datos más abajo de la línea.

"El ambiente de la compañía puede ser tremendamente complejo, con cientos de lugares en todo el país o el mundo y en cualquier lugar puede haber debilidades", dijo. "Si usted tiene varias líneas de negocio, y usted no dice la QSA sobre todos ellos, el QSA no va a saber a buscar en esas áreas y algo se va a perder. Ese no es el QSA la culpa".
Casa>noticias del Mundo>4 Maneras de Conseguir el la Mayoría de Su PCI QSAs
IMPORTANTE! Instalación de equipo de monitoreo de herramientas en los equipos que no posean o no tienes permiso para monitor puede violar locales, estatales o federales.
Suggest translation