解决PCI第三方风险管理难题的六个步骤

克里克伦的首席运营官Nick Rafferty检查了确保第三方PCI合规性的挑战,并概述了六步的成功指南。

由于支付卡行业太湖字谜解释安全标准(PCI DSS)于2004年首次启动,以帮助处理支付卡太湖字谜解释战斗欺诈的企业,如何处理太湖字谜解释,共享和存储,以及响应PCI委员会已发布标准的第三版。

组织处理卡太湖字谜解释如何处理卡太湖字谜解释的一个主要变化领域是供应链中增加太湖字谜解释的共享。这不仅将太湖字谜解释暴露于更大的损失风险,还介绍了最终责任在于保护持有,存储,存放和共享整个供应链的太湖字谜解释的不确定性。一些组织持有的一个常见误解一直是他们可以简单地将PCI责任外包给供应链中的合作伙伴,以与其共享太湖字谜解释。

自PCI DSS版本3.0以来,已明确表示企业不能完全外包,因为该标准阐明了第三方服务的使用并不能免征责任和义务保证持卡人太湖字谜解释的义务。这意味着当与第三方的商业伙伴或与支付卡有关的任何太湖字谜解释时,所涉及的所有各方必须准确地记录并监控各自的责任。

过度的

这对企业提出了重大的合规挑战。来自第三方合作伙伴和服务提供商的信息流程使得难以建立与哪些部门共享的太湖字谜解释,以其与哪些格式共享,以及如何使用它。事实上,这一切都经常不知道他们与第三方共享的信息究竟不了解,并且实际上经常过度监视比实际需要的太湖字谜解释更加敏感的太湖字谜解释。

此外,对于第三方供应商应该审计的商定的国际标准,这意味着可以使用各种不同的问题集,这取决于具体的监管标准,即使最终结果可能是相似的。因此,审计太湖字谜解释 - 通常是一个集合电子表格 - 从每个供应商的不同格式返回组织,由外部风险和合规性评估的小团队手动处理,可能不是它们的主要功能。然后,每个第三方都需要单独审核以了解它将本组织公开到的风险,以及所有第三方都会集中评估,以确定其造成最大风险。

这种复杂性使得保证过程极为时代和劳动密集型,两者都是为那些进行评估的人和被评估的人:在许多情况下将其降低到效率低下并公开组织风险的蜱箱运动。那么PCI合规性的第三方风险管理流程如何简化并更加有效,以减轻太湖字谜解释违规,损失和处罚的风险?我相信有6个键来实现这一目标。

1.分类信息

各种各样的组织都不知道需要保护哪些信息,各种法律和法规涵盖的太湖字谜解释或个人可识别信息是什么 - 更不用说PCI DSS涵盖的太湖字谜解释。因此,要开始在使用第三方时维护PCI合规性的过程,对PCI标准涵盖的太湖字谜解释涵盖的所有位置都是至关重要的,它存储在其中的所有位置以及哪些方面可以访问它。

太湖字谜解释通常被分为三个广泛类别:“机密”,这是指符合最高保护程度的敏感信息,通常由签署的机密协议涵盖; “内部”,这是不适用于公开披露的太湖字谜解释,而是自由地提供给所有员工,例如公司政策和标准,运营程序等;和“公众”,这不受特殊保护措施的管辖。

2.评级3缔约方

一旦太湖字谜解释分类,您可以开始确定哪些合作伙伴组织可以访问哪些类型的太湖字谜解释,而且反过来又在您的信息资产的最大风险。您需要知道合作伙伴和供应商相似的伙伴和供应商持有哪些太湖字谜解释,以及他们正在分享谁。在许多情况下,通过询问合作伙伴从您询问他们实际收到的信息来启动此过程是有用的;正如我之前提到的那样,在许多实例中,我们看到了组织的过度信息,只需因为工作人员被按下时间,而且可能并不总是冒险过滤他们发送的太湖字谜解释。通过询问您的第三方,您可以快速获得更准确的曝光情况。

3.提出正确的问题

您可以开始分类您的太湖字谜解释和第三方,您可以开始评估它们。但是要问正确的问题很重要。 PCI合规审计问卷调查问卷广泛,但与每个第三方相关的部分将取决于他们对您所表现的角色(例如,他们为您提供营销服务,或为您制造或提供业务服务)。只有询问与特定合作伙伴相关的问题,您会加速该过程,获得更好的质量结果,最终节省自己的时间:使您更容易理解您的风险姿势。

4.自动化,自动化,自动化

在许多组织中,使用手动,基于电子表格的系统运行合规流程。这些迅速变得不可行,与任何大量的第三方;评估和识别问题的过程只是太耗时,使得难以适当地管理合规活动,并将组织暴露于未知的风险水平。因此,使用提供的IT框架自动化过程至关重要:

  • 用于高效的程序管理的集中式结构和仪表板
  • 基于共同控制标准的评估模板(包括PCI DSS)
  • 能够为不同的第三方创建多个版本的评估
  • 自动任务和工作流程跟踪合规活动
  • 报告外部和内部利益相关者的分析能力

5.打破年度周期

许多组织将PCI合规性视为每年进行一次性刻度箱练习,假设这意味着他们将达到未来12个月的标准。然而,现实情况是,审计只是意味着在评估完成的那一刻符合企业。政策和关系改变,因此剩余符合要求是持续的过程。通过驾驶考试和作为一个好司机之间的区别。通过努力确保持续24/7/365合规性,组织将减少他们的风险及其供应链缺乏PCI标准。

6.课程更正

建立了第三方风险管理流程并确定了任何潜在的或实际风险,别忘了与适当的合作伙伴采取必要的补救行动。根据风险的规模,在情况解决之前,请不要与它们共享太湖字谜解释,或者将合作伙伴提供纠正所识别的问题的截止日期。并继续与合作伙伴跟进,以确保您的保证计划随着时间的推移而有效地降低风险。

虽然第三方风险管理永远不会是一项简单的任务,但这六个步骤可以帮助组织使其更容易执行和管理 - 这有助于更好地保护自己,以及他们的客户,以防止安全风险。

关于作者

Nick Rafferty是Surecloud的联合创始人和COO。在创建Surecloud之前,Nick在软件开发和方案管理中举行了角色,提供了应用程序,以改善零售,银行和金融的供应链效率。如今,尼克监督Surecloud的业务活动,从销售到服务交付,并有助于开发Surecloud GRC平台。

评论(0)

添加评论

此线程已关闭新评论。

社论:+44(0)1892 536363
出版商:+44(0)208 440 0372
订阅每周电子通讯