Это также важный аспект обеспечения безопасности данных платежных карт. Планирование непрерывности бизнеса — это процесс создания плана, обеспечивающего продолжение бизнес-операций в случае неожиданного сбоя, например стихийного бедствия или кибератаки.
Когда речь идет о соответствии стандарту PCI DSS, надежный план обеспечения непрерывности бизнеса необходим для поддержания безопасности данных платежных карт. Это предусматривает наличие процедур аварийного восстановления, резервного копирования данных и реагирования на инциденты. Планирование непрерывности бизнеса должно включать также регулярное тестирование и проверку плана для обеспечения его эффективности и выявления и устранения любых уязвимостей.
Кроме того, PCI DSS требует, чтобы продавцы и поставщики услуг имели план поддержания доступности критически важных систем и данных в случае сбоя. Это подразумевает наличие плана аварийного восстановления, в котором рассматриваются способы восстановления систем и данных в случае сбоя, а также процедуры регулярного тестирования и проверки плана аварийного восстановления.
Наличие надежного плана обеспечения непрерывности бизнеса может помочь организациям снизить риск утечки данных и гарантировать, что они смогут быстро и эффективно отреагировать на инцидент. Торговцам и поставщикам услуг важно быть в курсе последних требований и рекомендаций PCI DSS, чтобы убедиться, что их план обеспечения непрерывности бизнеса соответствует стандарту.
Международные аспекты соответствия PCI DSS заключаются в том, что стандарты и требования PCI DSS применяются ко всем продавцам и поставщикам услуг, которые принимают, обрабатывают, хранят или передают информацию о кредитных картах, независимо от их местонахождения. Это означает, что даже если компания находится за пределами США, она все равно должна выполнять требования PCI DSS, если принимает платежи по кредитным картам от клиентов в США или других странах, принявших этот стандарт.
Одно из важных соображений для международных компаний — то, что в разных странах могут действовать собственные законы о защите данных, которые должны соблюдаться наряду с PCI DSS. Например, Общий регламент по защите данных в ЕС устанавливает строгие правила обработки и защиты персональных данных, которые необходимо учитывать в дополнение к требованиям PCI DSS.
Еще одним соображением для международных компаний является тот факт, что в разных странах может быть разный уровень риска мошенничества с кредитными картами и других угроз безопасности. Поэтому в зависимости от страны, в которой работает компания, могут потребоваться различные уровни соответствия PCI DSS.
Компаниям важно быть в курсе специфических требований и правил стран, в которых они работают, а также убедиться в том, что их деятельность соответствует требованиям PCI DSS и любых других подобных законов. Кроме того, компании должны иметь четкое представление о процессах и процедурах, необходимых для соблюдения этих норм, включая связанные с защитой данных и реагированием на инциденты.
Это процесс обеспечения соблюдения предприятием или организацией стандартов безопасности данных индустрии платежных карт и принятия необходимых мер для защиты конфиденциальных данных держателей карт. Аудит соответствия включает в себя регулярную оценку и анализ методов и систем безопасности организации для обеспечения их соответствия требованиям PCI DSS.
Соответствие стандарту PCI DSS обычно обеспечивается брендами платежных карт и банками-эквайерами. Они могут проводить проверки на местах или запрашивать документацию для подтверждения соответствия требованиям. На организации, не выполняющие требования PCI DSS, могут быть наложены штрафы или взыскания, а в некоторых случаях они могут потерять возможность обрабатывать карточные платежи.
Предприятиям и организациям важно постоянно следить за соблюдением требований PCI DSS и регулярно проводить аудит на соответствие стандартам. Это поможет предотвратить утечку данных и защитить конфиденциальную информацию о держателях карт. Кроме того, наличие надежного плана реагирования на инциденты может помочь организациям быстро реагировать на инциденты, связанные с безопасностью данных, и восстанавливаться после них.
Общий регламент по защите данных: требования и соблюдение
Общий регламент по защите данных (GDPR) — это всеобъемлющий закон о защите данных, вступивший в силу 25 мая 2018 года. Он заменяет Директиву ЕС о защите данных 1995 года и распространяется на все организации, обрабатывающие персональные данные граждан ЕС, независимо от местонахождения организации. GDPR устанавливает строгие правила сбора, хранения и использования персональных данных, а также дает частным лицам больший контроль над личной информацией.
GDPR применяется ко всем типам персональных данных, включая имена, адреса и другую идентифицирующую и особо секретную информацию, такую как медицинские и финансовые данные. Положение распространяется на все виды обработки, включая сбор, хранение и использование, и на все типы организаций, в том числе компании, государственные учреждения и некоммерческие организации.
GDPR устанавливает ряд новых прав для физических лиц, включая право на доступ к своим персональным данным, право на удаление своих персональных данных и право возражать против их обработки. Он также налагает новые обязательства на организации, обрабатывающие персональные данные, включая необходимость назначения ответственного за защиту данных и уведомления соответствующих органов и частных лиц об утечке данных.
Организации, не соблюдающие требования GDPR, могут быть подвергнуты значительным штрафам — до 4 % от их годового дохода или 20 млн евро в зависимости от того, что больше. Поэтому организациям важно понимать требования GDPR и принимать меры для обеспечения их соблюдения.
GDPR устанавливает специальные правила и стандарты защиты персональных данных — любой информации, относящейся к идентифицированному или поддающемуся идентификации физическому лицу. Это, в частности, имена, адреса, адреса электронной почты и IP-адреса.
Согласно GDPR, организации должны назначить ответственного за защиту данных, если они являются государственными органами, осуществляют крупномасштабный систематический мониторинг или обрабатывают специальные категории данных. Организации также должны в течение 72 часов уведомить об утечке данных своего сотрудника по защите данных и соответствующий надзорный орган, а в некоторых случаях — и лиц, пострадавших от нарушения.
Организации обязаны применять технические и организационные меры для обеспечения безопасности персональных данных и быть в состоянии продемонстрировать соответствие GDPR. Это подразумевает оценку воздействия, проектируемую защиту персональных данных, а также ведение записей о деятельности по обработке данных.
Кроме того, GDPR предоставляет физическим лицам права на доступ к своим персональным данным, их исправление, удаление и переносимость, а также право возражать против обработки своих данных. Организации должны получать явное и информированное согласие на обработку персональных данных, также им требуется упростить для физических лиц возможность отозвать свое согласие в любое время.
Общий регламент по защите данных — это всеобъемлющее положение о конфиденциальности данных, принятое Европейским союзом в 2016 году. Он вступил в силу 25 мая 2018 года и заменил Директиву ЕС о защите данных 1995 года. GDPR применяется к любой организации, которая обрабатывает персональные данные физических лиц в ЕС, независимо от ее местонахождения.
Соответствие GDPR требует от организаций выполнения ряда требований, включая:
• получение от физических лиц четкого и информированного согласия на сбор их персональных данных;
• предоставление физическим лицам определенных прав, таких как право на доступ к своим личным данным и право требовать их удаления;
• внедрение технических и организационных мер для защиты персональных данных от несанкционированного доступа, использования, раскрытия, изменения или уничтожения;
• уведомление отдельных лиц и соответствующего надзорного органа об определенных видах утечки данных;
• назначение сотрудника по защите данных в определенных обстоятельствах.
В качестве контролера или обработчика данных организации должны назначить представителя в ЕС, если они не созданы в Евросоюзе, но обрабатывают персональные данные его граждан. Они также должны вести учет своей деятельности по обработке данных и назначить сотрудника по защите данных, если их основная деятельность предполагает регулярный и систематический мониторинг субъектов данных в больших масштабах или если они обрабатывают специальные категории данных.
GDPR требует от организаций в определенных обстоятельствах оценки воздействия на защиту персональных данных (data protection impact assessment, DPIA) до их обработки. Они также должны при определенных обстоятельствах назначить ответственного за защиту данных.
Организации, не соблюдающие GDPR, могут быть подвергнуты значительным штрафам — до 20 млн евро или 4 % от общегодового дохода компании в зависимости от того, какая сумма больше. Организациям важно серьезно отнестись к соблюдению GDPR и предпринять шаги по его соблюдению.
Это процесс, который организации должны реализовать для выявления и смягчения потенциальных рисков, связанных с обработкой персональных данных. DPIA обязательны для определенных видов деятельности по обработке данных и используются для того, чтобы помочь организациям соблюдать принцип проектируемой защиты персональных данных. Это важный инструмент для обеспечения того, чтобы соображения защиты данных были заложены в проекты и процессы с самого начала и чтобы были приняты меры для защиты персональных данных. DPIA должны проводиться до начала любой новой деятельности по обработке данных, а также пересматриваться и обновляться по мере необходимости на протяжении всего жизненного цикла проекта или процесса.