वित्तीय पेशेवरों के लिए एक त्वरित प्राइमर
वित्तीय सुरक्षा उद्योग में डेटा सुरक्षा चिंता का एक प्रमुख मुद्दा है क्योंकि यह विशाल संभावित वित्तीय और प्रतिष्ठित लागत से जुड़ा हुआ है। वित्तीय फर्मों को लक्षित करने वाले साइबर क्राइम बढ़ रहे हैं।
तदनुसार, डेटा सुरक्षा मामलों पर ध्यान न केवल सूचना प्रौद्योगिकी कर्मचारियों के सदस्यों, बल्कि जोखिम प्रबंधन और अनुपालन कर्मियों के साथ-साथ नियंत्रक संगठनों और मुख्य वित्तीय अधिकारियों के सदस्यों को शामिल करना चाहिए।
इसके अलावा, वित्तीय उद्योगों को देखते हुए, अन्य उद्योगों में वित्तीय प्रबंधन पेशेवरों को मूल रूप से डेटा सुरक्षा में विषयों के साथ बातचीत करने की आवश्यकता है।
प्रमुख डेटा सुरक्षा उल्लंघनों की बढ़ती आवृत्ति और लागत, जो बैंकों, निवेश फर्मों, इलेक्ट्रॉनिक भुगतान प्रोसेसर, क्रेडिट कार्ड नेटवर्क, खुदरा व्यापारियों और अन्य लोगों को प्रभावित करती है, यह एक ऐसा क्षेत्र बनाती है जिसका महत्व इन दिनों कम से कम असंभव है।
डेटा सुरक्षा मुद्दे:
क्रेडिट कार्ड और डेबिट कार्ड के माध्यम से भुगतान स्वीकार करने वाली कंपनियों के लिए डेटा सुरक्षा में इलेक्ट्रॉनिक भुगतान प्रोसेसर की पसंद के संबंध में बहुत अधिक ध्यान रखना शामिल है। व्यवसाय की इस पंक्ति में सैकड़ों कंपनियां हैं, लेकिन भुगतान कार्ड उद्योग सुरक्षा मानक परिषद द्वारा पीसीआई अनुपालन में केवल एक सबसेट रेट किया गया है। प्रमुख क्रेडिट कार्ड जारीकर्ता (वीज़ा, मास्टरकार्ड, आदि) आम तौर पर केवल पीसीआई-अनुपालन भुगतान प्रोसेसर का उपयोग करने की दिशा में कंपनियों को चलाने का प्रयास करते हैं।
पॉइंट ऑफ सेल क्रेडिट कार्ड और डेबिट कार्ड प्रसंस्करण, जैसे कैश रजिस्टर्स, गैस पंप और एटीएम पर डेटा सुरक्षा, कार्ड नंबर और पिन चोरी करने के लिए योजनाओं द्वारा तेजी से समझौता किया जा रहा है और जटिल है। इनमें से कई योजनाएं इन टर्मिनल पर डेटा चोरों द्वारा आरएफआईडी चिप्स (रेडियो आवृत्ति पहचान चिप्स) के गुप्त प्लेसमेंट का उपयोग इस तरह के डेटा को "स्किम" करने के लिए करती हैं।
सुरक्षा कंपनी एडीटी एक विक्रेता है जो एंटी-स्कीम सॉफ़्टवेयर प्रदान करता है, जो अलर्ट को ट्रिगर करता है जब इस प्रकार के डेटा उल्लंघनों का पता लगाया जाता है। इसके अतिरिक्त, एक योग्य सुरक्षा निर्धारक (क्यूएसए) को इस तरह के डेटा सुरक्षा उल्लंघनों के लिए कंपनी की संवेदनशीलता का सर्वेक्षण करने के लिए लगाया जा सकता है।
डेटा सुरक्षा अक्सर डेटा केंद्रों पर शारीरिक सुरक्षा पर निर्भर करती है। इसमें यह सुनिश्चित करना शामिल है कि अनधिकृत कर्मियों को बाहर रखा गया है। इसके अतिरिक्त, अधिकृत स्थानों को सर्वर स्थानों से संवेदनशील जानकारी युक्त सर्वर, लैपटॉप, फ्लैश ड्राइव, डिस्क, टेप, प्रिंटआउट इत्यादि को हटाने की अनुमति नहीं दी जा सकती है। इसी प्रकार, अनधिकृत कर्मियों के संवेदनशील सूचनाओं को देखने के खिलाफ सुरक्षा के लिए नियंत्रण होना चाहिए, जो उनके कर्तव्यों के निर्वहन में आवश्यक नहीं हैं।
आपकी कंपनी के परिसर में सुरक्षा प्रोटोकॉल और प्रक्रियाओं के अलावा, डेटा प्रोसेसिंग और ट्रांसमिशन सेवाओं के बाहरी विक्रेताओं के अभ्यास की जांच की जानी चाहिए। उदाहरण के लिए, यदि कोई तृतीय पक्ष फर्म आपकी कंपनी की वेबसाइट होस्ट करती है, तो आपको इसकी डेटा सुरक्षा प्रक्रियाओं के बारे में चिंतित होना चाहिए। सार्वजनिक रूप से आयोजित सूचना प्रौद्योगिकी फर्मों के लिए सर्बान-ऑक्सले अधिनियम द्वारा आवश्यक आंतरिक नेटवर्क के संबंध में पर्याप्त सुरक्षा प्रक्रियाओं के लिए एसएएस -70 प्रमाणीकरण एक आम मानक है।
एसएसएल प्रोटोकॉल का उपयोग संवेदनशील डेटा को सुरक्षित रूप से ऑनलाइन संभालने के लिए मानक है, जैसे लेनदेन के भुगतान में क्रेडिट कार्ड नंबरों का इनपुट।
नेटवर्क सुरक्षा सर्वोत्तम व्यवहार:
नेटवर्क सुरक्षा के प्रभाव वाले नेटवर्क सुरक्षा के प्रमुख पहलुओं हैकरों और वेबसाइटों या नेटवर्क की बाढ़ के खिलाफ सुरक्षा हैं। आपके इन-हाउस सूचना प्रौद्योगिकी समूह और आपके इंटरनेट सेवा प्रदाता (आईएसपी) दोनों में उचित प्रतिवाद होना चाहिए। वेब होस्टिंग और भुगतान प्रसंस्करण कंपनियों के संबंध में यह चिंता का विषय भी है। इन सभी बाहरी विक्रेताओं को यह दिखाना चाहिए कि उनके पास कौन सी सुरक्षा है।
दोबारा, सर्वोत्तम प्रथाओं जो आपकी खुद की कंपनी के डेटा नेटवर्क, डेटा केंद्र और डेटा प्रबंधन की विशेषता रखते हैं, वही हैं जिन्हें आपको डेटा प्रोसेसिंग, भुगतान प्रसंस्करण, नेटवर्किंग और वेबसाइट होस्टिंग सेवाओं के सभी बाहरी विक्रेताओं पर पुष्टि करनी चाहिए।
किसी तृतीय पक्ष प्रदाता के साथ किसी भी अनुबंध में प्रवेश करने से पहले, आपको यह पता लगाना चाहिए कि उसके पास स्वतंत्र बाहरी निकायों (ऊपर उल्लिखित) से उचित न्यूनतम प्रमाणपत्र हैं और अपनी खुद की उचित परिश्रम का संचालन करते हैं, या तो आपकी कंपनी के स्वयं के सूचना प्रौद्योगिकी कर्मियों द्वारा उचित प्रमाण-पत्रों के साथ नेतृत्व किया जाता है। या योग्य बाहरी परामर्शदाताओं द्वारा।
अंतिम विचार के रूप में, डेटा सुरक्षा उल्लंघनों से जुड़े लागतों के खिलाफ बीमा खरीदना संभव है। इस तरह की लागत में क्रेडिट विफलताओं (जैसे वीज़ा और मास्टरकार्ड) द्वारा लगाई गई जुर्माना और जुर्माना शामिल हैं, साथ ही क्रेडिट और डेबिट कार्ड रद्द करने के लिए कार्ड जारीकर्ताओं (मुख्य रूप से बैंक, क्रेडिट यूनियनों और प्रतिभूति फर्मों) पर लगाए गए खर्च , अपनी कंपनी के कारण होने वाली उल्लंघनों के कारण नए जारी करना और कार्ड सदस्यों को पूरा करना, खर्च जो वे आपकी कंपनी को वापस लेने का प्रयास करेंगे।
इस तरह के बीमा को कभी-कभी भुगतान प्रसंस्करण फर्मों द्वारा प्रदान किया जा सकता है, साथ ही साथ बीमा कंपनियों से सीधे उपलब्ध कराया जा सकता है। ऐसी नीतियों पर बढ़िया प्रिंट विस्तृत किया जा सकता है, इसलिए इस तरह के बीमा खरीदने के लिए बहुत सावधानी बरतनी चाहिए।
प्रधानाचार्य स्रोत: "डाटाजिंग डेटा ब्रेकिंग," फोर्ब्स , 7/18/2011।