財務プロフェッショナル向けの簡単な入門書
財務サービス業界では、潜在的な財務的および評判的なコストが膨大になるため、データセキュリティは重要な問題です。 金融会社を対象としたサイバー犯罪が増えています。
したがって、データセキュリティ問題に注意を払うには、 ITスタッフだけでなく、 リスク管理およびコンプライアンス担当者だけでなく、 コントローラー組織やCFOのメンバーも関与する必要があります 。
さらに、他の業界の財務管理の専門家は、財務上のエクスポージャーを考えると、基本的にデータセキュリティの話題に精通している必要があります。
銀行、投資会社、電子決済プロセッサ、クレジットカードネットワーク、小売商などに影響を与える主要なデータセキュリティ侵害の頻度とコストの増加は、これらの日を過小評価することが事実上不可能な領域になっています。
データセキュリティの問題:
クレジットカードとデビットカードによる支払いを受け入れる企業のデータセキュリティには、電子決済プロセッサの選択に大きな注意を払う必要があります。 このビジネス・ラインには何百もの企業が存在しますが、支払いカード業界標準規格審議会では、PCI Compliantと評価されているのはサブセットだけです。 主要なクレジットカード発行者(Visa、MasterCardなど)は、通常、企業がPCI準拠の支払いプロセッサのみを使用するように誘導します。
キャッシュレジスタ、ガスポンプ、ATMなどのPOS(point of sale)クレジットカードやデビットカード処理に関するデータセキュリティは、カード番号とPINを盗む方式によってますます妥協され複雑化しています。 これらのスキームの多くは、RFIDチップ(無線識別チップ)の秘密配置をこれらの端末のデータ窃盗犯が利用してそのデータを「見過ごす」ものである。
セキュリティ会社ADTは、アンチ・スキム・ソフトウェアを提供するベンダーです。このソフトウェアは、この種のデータ侵害が検出されたときにアラートをトリガーします。 さらに、QSA(Qualified Security Assessor)は、こうした種類のデータセキュリティ侵害に対する企業の感受性の調査を実施するために従事することができます。
データセキュリティは、多くの場合、データセンターの物理的なセキュリティに依存します。 これには、許可されていない人員を確保することが含まれます。 さらに、許可された人員は、会社の場所から機密情報を含むサーバー、ラップトップ、フラッシュドライブ、ディスク、テープ、プリントアウトなどを取り外すことはできません。 同様に、許可されていない要員が職務の遂行上必要としない機密情報を閲覧するのを防ぐための管理策を講じておくべきである。
社内のセキュリティプロトコルと手順に加えて、データ処理と伝送サービスの外部ベンダーの実践を精査しなければなりません。 たとえば、サードパーティの企業が自社のWebサイトをホストする場合、そのデータセキュリティ手順を気にする必要があります。 SAS-70認証は、一般に公開されている情報技術企業向けのSOX法によって要求される、社内ネットワークに関する適切なセキュリティ手順の一般的な標準です。
SSLプロトコルの使用は、トランザクションの支払いにおけるクレジットカード番号の入力など、機密データを安全にオンラインで処理するための標準です。
ネットワークセキュリティのベストプラクティス:
データセキュリティに影響を及ぼすネットワークセキュリティの重要な側面は、ハッカーに対する防御やウェブサイトやネットワークの氾濫です。 社内の情報技術グループとインターネットサービスプロバイダ(ISP)の両方に、適切な対策が講じられている必要があります。 これはまた、Webホスティングおよび支払い処理会社に関する懸念事項です。 これらの外のベンダーは、どのような保護を持っているかを証明しなければなりません。
ここでも、自社独自のデータネットワーク、データセンター、データ管理を特徴付けるベストプラクティスは、データ処理、支払い処理、ネットワーキング、Webサイトホスティングサービスのベンダー以外のすべてのベンダーで確認されているものと同じものです。
第三者プロバイダーとの契約を締結する前に、独立した外部機関からの適切な最低限の資格があることを確認し(上記で概説した通り)、お客様自身のデュー・ディリジェンスを実施する必要があります。または適格な外部コンサルタントによって提供されます。
最終的な検討事項として、データセキュリティ侵害に関連するコストに対して保険を購入することが可能です。 そのような費用には、そのような失敗のためにクレジットカードネットワーク(VisaやMasterCardなど)によって徴収される罰金や罰金、クレジットカードやデビットカードを取り消すためのカード発行者(主に銀行、信用組合、証券会社)あなたの会社によって引き起こされた違反のために新しいカードを発行し、カード会員全員にカードを発行させることになります。
そのような保険は、支払い処理会社によって提供される場合もあれば、保険会社から直接入手できる場合もあります。 そのような保険契約の細かい部分は詳述されているので、そのような保険を購入するには大変な注意が必要です。
主な情報源: Forbes 、7/18/2011