Beszélgetés Frédéric Jesupret-tel, az Allianz Partners csoport információbiztonsági igazgatójával
Mióta a PCI Szabványok Biztonsági Tanácsa március 4.0-én kiadta a PCI DSS 31-s verzióját, a globális fizetési és megfelelőségi ágazat vitáinak központjává vált.
Az új adatvédelmi szabályozások megalkotásával és frissítésével világszerte egyre több megbeszélés folyik az adatvédelmi kezelésről.
Nemrég beszéltem Frédéric Jesupret-tel, az Allianz Csoport globális segítségnyújtási és biztosítási szolgáltatásokat nyújtó leányvállalata, az Allianz Partners csoport információbiztonsági tisztviselőjével a PCI DSSv.4.0 megfelelőség változásairól, a nemzetközi szabályozások kezelésének kulcselemeiről, a képzésről és a megfelelési kihívásokról.
A PCI DSS v4.0 fejlődése – mi az újdonság?
A PCI DSS v4.0 ebben az évben jelent meg azzal a javaslattal, hogy új szintre emeljék a megfelelést és növeljék a biztonságot a fizetési ágazatban. A vállalatoknak azonban fel kell készülniük arra, hogy az új szabványt beépítsék hatályukba.
Az új szabvány lehetővé teszi a vállalatok számára, hogy különböző módszereket alkalmazzanak a biztonsági követelmények teljesítésére.
Frédéric szerint a kihívás az, hogy a vállalatoknak alkalmazkodniuk kell az új szabványhoz és a rendszereik követelményeihez. Mindazonáltal hozzáteszi, hogy a PCI DSS v.4.0 fontos lépés lesz a vállalatok számára, mivel „az új szabvány segít javítani a megfelelőségünket, és felkészít bennünket arra, hogy a jövőben megfeleljünk más lehetséges szabványoknak”.
Több keretrendszer és nemzetközi szabályozás kezelése
A globális vállalatoknak be kell tartaniuk a helyi és nemzetközi adatvédelmi és adatvédelmi előírásokat. Ez összetett kezelési folyamathoz vezet, különösen akkor, amikor a nemzeti adatvédelmi szabályozások egyre szigorodnak.
Ezzel kapcsolatban Frédéric azt tanácsolja:
- Tartsa be a vállalati szabványokat, például az ISO27001-et.
- Készítsen sablonokat, hogy segítse a helyi entitásokat a megfelelőség elérésében.
- Szabványos jelentések készítéséhez alkalmazzon szabványosított IT-biztonsági és IT-kockázati megközelítést.
- Ugyanazt a megközelítést alkalmazza az összes elem kezelésére.
Kulcsfontosságú tanácsok a képzettség és a megfelelőség megőrzéséhez
A CISO-k számára komoly kihívást jelenthet többféle keretrendszer és szabályozás megtárgyalása.
Frédéric számára a megfeleléssel lépést tartani „egy véget nem érő történet”, amely sok olvasást, internetes kutatást és olyan értékes információs csatornák használatát kívánja meg, mint a Vigitrust Tanácsadó Testület.
Ezzel párhuzamosan az előírásoknak való megfelelés kihívása is. Ahogy Frederic mondja, „a napi feladatokra kell összpontosítanunk, hogy rövid időn belül újabb mérföldkőhöz érkezzünk a megfelelőség terén.”
Forrás: https://www.forbes.com/sites/forbesbooksauthors/2022/09/09/what-is-the-role-of-a-ciso-in-compliance/