多年来,金融服务业是精致的网络攻击者最有针对性的行业(以及一些不那么复杂)。这从来没有太令人惊讶的攻击者经常追随金钱,从悬挂水果低开始。
在过去几年中公开的所有信用卡违规行为中,并非很多(如果有的话)真正兼容付款卡行业数据安全标准(PCI DSS)合规性。
与此同时,符合符合要求并不意味着您真正保护重要的数据。
任何与信乐动体育 足球快讯用卡交易的公司知道PCI合规会导致重大头痛。关键是实施评估,修复和持续管理计划。
你现在和一个QSA - 现在说了什么?
最大的PCI合规性挑战任何开展信用卡交易的公司定义范围 - 您的网络的哪些部分实际上需要坚持PCI?
您的公司可能在1GB连接上有500或1000人。乐动体育 足球快讯但是您的PCI范围可能是生成10MB流量的50个端点。安全性的成本差异是大规模的,因此定义您的范围是遵守的关键第一步。
这就是你工作的原因合格的安全评估员(QSA)在升级网络安全基础架构之前。QSA将对您的现有环境进行全面分析,并为实现合规性提供差距评估。
但是,安全评估的结果往往是压倒性的 - 特别是对于以前从未拥有过这些安全考虑的组织。许多公司没有员工或安全预算完全大修其基础设施,可能不需要。但是,首先得到您的范围和差距,将在正确的方向上设置您。QSA肯定会帮助你,但是对你有所了解在哪里您的数据存在和您打算如何监控和安全您的环境也有助于帮助。
与MSSP合作也是一种简单有效的方法,可以帮助解决PCI合规性问题并正确实现控制。您可以与在适当的合规性实施中具有专业知识和经验的人员携带QSA的目标。
比数据安全标准更多地符合PCI合规性
我们在整个行业中开始看到的是存在重叠的安全要求,有时需要组织同时遵守多个框架。在一天结束时,这些都有相同的目标;保护数据并实现最佳实践安全措施。
纽约的一个伟大的例子是新实施的纽约金融服务部500强(DFS)。对于更传统的金融服务公司来说,这只是一个管理的另一个规定。但对于小企业而言,500强制将带来完全新的,更具体的规则来遵守;可能除了PCI和一些情况下的HIPAA。
以下是对大多数合规性计划应考虑的几个关键点:
- 有计划分析您的所有互联网流量 - 入口和出口流量可以告诉您对环境的行为有很大的事项,并且在大多数情况下需要帮助识别潜在攻击。
- 创建计划以实现SIEM或收集日志并每日分析它们(或更多)。这将涵盖任何框架的大量合规性要求,但不是应该轻描淡写的承诺 - 这可能是一个复杂的过程,并且需要大量计划才能正常实施。
- 进行内部和外部漏洞评估,并确定可以以编程方式固定的内容,同时优先考虑修复最高威胁的问题。
- 评估您可以帮助实施这些合规乐动体育 南安普顿合作伙伴性控制的资源以及管理它们长期管理 - 他们持续完成并喂食,以便正确完成,并真正从中获得价值。
选择安全伙伴或MSSP,了解像PCI和NY 500这样的新兴法规是获得合规管理的帮助以及识别和减少整体网络风险的好方法。
除了这一了解您的具体合规需求外,您的MSSP还必须有适当的设备来为您的范围实施必要的基础设施。无论是利用SIEM,ID,IPS,防火墙和/还是任何其他工具,都能满足合规性,具有100%可见性至关重要。利用网络分离,用于随时网络访问和数据包代理,以将公司范围的流量过滤到这些工具中至关重要。乐动体育 足球快讯
如果您想了解有关PCI或任何安全合规性的更多信息 - 以及我们为何工作乐动体育菠菜查看每个位,字节和包®-联系Sedara免费咨询。