This is a machine translation. The original page (in English) is available here.

Dernières nouvelles du monde: - Pourquoi les états-UNIS envisage de TikTok Ban Flux RSS

La maison>Des nouvelles du monde>4 Façons de tirer le meilleur parti de Votre PCI QSAs
Haut les enregistreurs de frappe
Afficher plus...

4 Façons d'Obtenir le maximum de Votre PCI QSAs

  •  
Note des utilisateurs: aucun commentaire. Soyez le premier à revoir! 0 - 1 votes
Dans une interview avec CSOonline le mois dernier, Heartland payment Systems Inc. Chef de la direction Robert Carr s'en est pris violemment à l'encontre de la sécurité qualifié évaluateurs (QSAs), qui ont vérifié les comptes de son entreprise pour le respect des normes de sécurité PCI, affirmant qu'ils ont manqué de la clé réseau de trous qui a finalement permis à une énorme brèche de sécurité des données. Les lecteurs de frapper en retour, claquant Carr pour ne pas posséder jusqu'à des problèmes qui sévit dans son opération de sécurité -- par exemple, lire Un Homme de Vue: Heartland chef de la direction Doit Accepter la Responsabilité.

Voir aussi Heartland chef de la direction de la Violation des Données: QSAs Nous

En réponse à la réponse, CSOonline interrogé les experts en sécurité qui ont effectué et reçu des évaluations dans un effort pour créer une courte liste de vérification pour le démarrage de l'entreprise-QSA relation off pour démarrer le mieux possible. Voici quatre suggestions:

1. Choisissez votre fournisseur à bon escient

Un problème commun est que l'ASQ est choisi trop à la hâte, parce que la société veut que le processus soit le plus le plus rapidement possible. Le résultat est que l'entreprise embauche un évaluateur qui n'est pas aussi bien versé dans les questions propres à leur environnement.

Mark Allison, vice-président de la sécurité de l'information à Las Vegas Global Accès à l'argent Comptant, dit que les entreprises doivent procéder à un examen approfondi de tous les QSA fournisseurs afin de s'assurer celui qui est choisi se spécialise dans les problèmes les plus communs dans leur secteur d'activité particulier.

"S'assurer que le vendeur a des PME qui répondent à vos besoins, et ne soyez pas alarmé si certains fournisseurs de sous-traitance avec d'autres entités qualifiées pour construire une réponse globale", dit-il. "Comme vous, professionnels de tirer parti de leurs points forts et de renforcer les limitations par l'embauche d'expertise. Faire vos devoirs et d'évaluer les informations d'identification de tous les fournisseurs et les participants et de comprendre la façon dont la fusion de leurs efforts dans un plan global peut conduire à la réussite de l'exécution."

2. Jeter les bases

Une chose est certain d'obtenir de l'entreprise évaluation de la sécurité à un mauvais début est un manque de planification, Allison dit. Par conséquent, il recommande de commencer avec une auto-évaluation. De cette façon, la société a une assez bonne idée de l'endroit où les points faibles de l'ASQ arrive. Le jour 1, de la sécurité, les administrateurs doivent informer le QSA sur tout ce qu'ils savent à ce point. De cette façon, l'ASQ pouvez affiner sa concentration particulière sur les zones à problème et de trouver une façon plus productive de la liste d'actions.

"Obtenir le dernier questionnaire d'auto-évaluation à partir de la norme PCI DSS site web," Allison dit. "Et rappelez-vous que rien de moins que complète la franchise sera entraver votre évaluateur de la capacité d'effectuer leur travail de manière efficiente et efficace."

3. Donner de la LVMQ, l'accès aux principaux acteurs

Une autre chose qui peut paralyser le processus d'évaluation est que la société tente de limiter l'QSAs de l'exposition pour que le moins de gens possible. Ce pourrait être parce que la direction ne veut pas de l'ASQ, s'appauvrit de direction de la part des employés qui n'ont pas nécessairement une compréhension complète sur les choses. Mais il est toujours mieux de donner l'ASQ accès à tous les principaux acteurs, a déclaré Daniel Wallace, un Détroit consultant en sécurité de l'information et de gestionnaire de projet. Wallace a récemment écrit un post complet sur le sujet de la Sécurité de l'Information des Ressources blog.

QSAs souvent d'effectuer de multiples entrevues avec les principaux gestionnaires de faire absolument certain que tous les aspects de l'opération a été étudié dans toute la mesure du possible. Avant l'ASQ arrive, la société devrait faire une liste des personnes qui peuvent faire des entretiens initiaux. Rendez-vous pour l'ASQ à partir de l'obtenir-aller permettra d'accélérer le processus, de même que dans le long terme. Une chose qui peut glisser le processus et est lorsque les principaux acteurs de casser ou d'oublier leur rendez-vous d'entretien, Wallace dit.

4. Ne pas traiter de la LVMQ, comme un ennemi

Un autre problème commun-en particulier du point de vue de QSAs approché pour cet article, est que les évaluateurs sont souvent traités comme l'approche d'un serpent à sonnettes par la société, ils sont là pour examen. C'est aussi une recette pour l'échec et devrait être évitée à tous les frais.

"Il n'y a pas de place pour l'ego," Allison dit. "L'évaluateur doit trouver des faiblesses. Get over it et apprendre de lui."

Voir aussi PCI après la Vérification des Points de Douleur

Ed Moyle, associé-fondateur de Sécurité de la Courbe et de l'ancien vice-président de la sécurité de l'information chez Merrill Lynch, a connu des bons et des mauvais aspects du processus d'évaluation des deux côtés et est en accord avec ces observations. Il a reconnu que les évaluations ne sont pas toujours aussi rigoureuse qu'ils devraient être, et le blâme appartient généralement à la fois la société et de l'ASQ.

Il a noté que la pression est forte pour l'ASQ ainsi que de la société, et de la pression peut conduire à des erreurs.

"Le client est de vous payer et veut être trouvé conforme," dit-il. "Vous avez aussi grande compliqué environnements avec de nombreuses pièces en mouvement et il y a beaucoup de possibilité de négliger les choses."

Cela dit, Moyle a noté que le plus d'informations et accéder à la QSA a, meilleure est la chance de faire une bonne, le succès de la vérification, qui peut empêcher une violation de données à la suite.

"Le contexte de l'entreprise peut être extrêmement complexe, avec des centaines d'endroits à travers le pays ou dans le monde et en tout lieu peut avoir des faiblesses," dit-il. "Si vous avez plusieurs lignes d'affaires et que vous ne dites pas à l'ASQ sur chacun d'entre eux, le QSA ne va pas savoir rechercher dans ces domaines, et que quelque chose va manquer. Ce n'est pas le QSA la faute."
Date de publication:
Auteur:
La maison>Des nouvelles du monde>4 Façons de tirer le meilleur parti de Votre PCI QSAs
IMPORTANT! L'installation de l'ordinateur à des outils de surveillance sur les ordinateurs que vous ne possédez pas ou n'avez pas la permission de suivre peuvent violer locales, de l'état ou la loi fédérale.