Narzędzia wykrywania danych PCI: Czy Twoja organizacja chroni swoje dane?

Ilość danych sensytywnych zbieranych i przechowywanych przez organizacje zwiększa się z każdym dniem. Wraz z tym rośnie potrzeba ochrony i dbania o zgodność z regulacjami z zakresu prywatności danych. Generalnie, te standardy określają jak informacja wrażliwa jest zbierana i zabezpieczana.

Co to jest zgodność PCI?

Niektóre ustawy z prawa prywatności są całkiem szerokie w zakresie informacji, jaką chronią. Payment Card Industry Data Security Standard (PCI DSS) jest bardziej skonkretyzowaną regulacją, chroni wrażliwe dane przechowywane i przekazywane podczas płatności kartą. Niezależnie od tego, czy jest to płatność za zakupy przez terminal płatniczy czy za rachunki przez aplikację webową, każdy podmiot, który przetwarza karty płatnicze musi być zgodny z normą PCI.

Skąd pochodzi ta regulacja

W 2006, gdy systemy przetwarzające płatności internetowe stawały się coraz popularniejsze, pięć największych dostarczycieli kart kredytowych: Visa, MasterCard, Discover, American Express i JCB International, uformowało radę i sformułowało standard PCI DSS, żeby zapobiec kosztownym naruszeniom danych wrażliwej informacji finansowej. W istocie, PCI DSS zobowiązuje każdą organizację przyjmującą płatności kartą do bezpiecznego akceptowania, przechowywania, procesowania i przekazywania danych posiadacza karty.

Jak być zgodnym z PCI – 12 wymagań

By stać się organizacją zgodną z PCI, należy spełnić wymóg bezpieczeństwa zdefiniowany w standardzie, który można zawrzeć w 12 wymogach:

1. Zainstaluj i utrzymuj firewalla do ochrony danych posiadacza karty.
2. Stwórz oryginalne hasła do systemów, nie posługuj się domyślnymi.
3. Chroń przechowywane dane posiadacza karty.
4. Szyfruj transmisję danych posiadacza karty przez otwarte, publiczne sieci.
5. Zainstaluj, używaj i regularnie aktualizuj oprogramowanie antywirusowe.
6. Rozwijaj i utrzymuj bezpieczne systemy i aplikacje.
7. Stosuj zasadę ograniczonego dostępu do danych osobowych.
8. Przypisz unikalny numer identyfikacyjny do każdej osoby z dostępem do komputera.
9. Zastosuj środki fizycznej ochrony dostępu do danych posiadacza karty.
10. Śledź i monitoruj wszystkie dostępy do danych płatniczych oraz sieci.
11. Regularnie skanuj i testuj systemy bezpieczeństwa i procesy w poszukiwaniu podatności.
12. Utrzymuj politykę zobowiązującą cały personel do przestrzegania norm bezpieczeństwa informacji.

Konsekwencje niezgodności

Poza wystawieniem organizacji na ryzyko naruszeń danych, które są kosztowne, niezapewnienie zgodności z PCI DSS prowadzi do kar od Rady Standardów Bezpieczeństwa PCI opiewające na zakres od 5 tys $ do 100 tys $ miesięcznie lub kar za incydenty, które mogą wynieść 500 tys $ za incydent. Ponadto tracisz możliwość kontynuowania przetwarzania płatności, co może istotnie wpłynąć na prowadzoną działalność.

Ochrona wrażliwych danych finansowych w szkolnictwie wyższym

Uniwersytety i instytucje oświatowe są bardziej podatne na potencjalne cyberataki z powodu sensytywnych danych, które przetwarzają w związku z obsługą studentów i wydziałów. Dodatkowo, poza informacjami o płatnościach za studia, szkoły zbierają i przechowują informacje o charakterze osobistym, np. dotyczące zdrowia czy wyników w nauce. Nie tylko muszą utrzymywać zgodność PCI, przetwarzając płatności kartami za kursy uniwersyteckie, ale także z innymi regulacjami dotyczącymi prywatności, np. RODO.

Zapotrzebowanie na dokładne wykrywanie danych

Utrzymywanie zgodności sprowadza się do wprowadzania i stałego stosowania środków bezpieczeństwa, które zabezpieczą aktualnie posiadane i przyszłe dane. Ale bez znajomości miejsc przechowywania danych, jak można je rzetelnie ochronić?

Tu może pomóc operacja wykrycia danych. Precyzyjne narzędzie data discovery przeszukuje wszystkie zakątki infrastruktury IT organizacji, żeby dać wgląd w to, które miejsca należy szczególnie chronić. Przeoczenie dowolnych danych krytycznych może oznaczać, że pozostaną niezabezpieczone, co wystawi twoją organizację na ryzyko niezgodności i incydentów bezpieczeństwa.

Utrzymuj zgodność PCI z DCM

Z uwagi na ilość przetwarzanych danych wrażliwych, potrzebujesz rozwiązania, które pozwoli Ci osiągnąć zgodność z regulacjami prawa prywatności dotyczącymi rodzajów danych, które przetwarzasz.

DCM automatyzuje wykrycie danych, klasyfikację i remediację. Nasze narzędzie przeszukuje lokalizacje chmurowe i lokalne – PDFy, obrazki, bazy danych, laptopy pracownicze i dużo więcej – wykazując lokalizacje informacji wrażliwej. Bez względu na to czy dane są strukturalne czy niestrukturalne, nasze narzędzie może wykryć je, żebyś był zgodny z regulacjami takimi jak PCI. Aby zobaczyć naszą platformę w akcji, skontaktuj się.