Rozmowa z Frédéricem Jesupretem, specjalistą ds. bezpieczeństwa informacji grupy w Allianz Partners
W miarę tworzenia i aktualizowania nowych przepisów dotyczących prywatności, na całym świecie nasila się dyskusja na temat zarządzania prywatnością.
Getty
Odkąd 4.0 marca Rada Bezpieczeństwa ds. Standardów PCI opublikowała wersję 31 PCI DSS, stała się ona centrum debaty w światowej branży płatności i zgodności.
W miarę tworzenia i aktualizowania nowych przepisów dotyczących prywatności, na całym świecie nasila się dyskusja na temat zarządzania prywatnością.
Niedawno rozmawiałem z Frédéricem Jesupretem, Group Information Security Officer w Allianz Partners, globalnej spółce zależnej Allianz Group świadczącej usługi assistance i ubezpieczeniowe, o zmianach w zgodności z PCI DSSv.4.0, kluczowych elementach zarządzania międzynarodowymi regulacjami, szkoleniami i wyzwaniami dotyczącymi zgodności.
Ewolucja PCI DSS v4.0 – co nowego?
PCI DSS v4.0 pojawił się w tym roku z propozycją przeniesienia zgodności na nowy poziom i zwiększenia bezpieczeństwa w branży płatności. Jednak firmy muszą przygotować się do włączenia nowego standardu do swojego zakresu.
Nowy standard pozwala firmom na różne sposoby spełnienia wymagań bezpieczeństwa.
Według Frédérica wyzwaniem jest to, że firmy będą musiały dostosować się do nowego standardu i wymagań dotyczących ich systemów. Dodaje jednak, że PCI DSS v.4.0 będzie ważnym krokiem dla firm, ponieważ „nowy standard pomoże nam poprawić naszą zgodność, a także przygotuje nas na zgodność z innymi możliwymi standardami w przyszłości”.
Zarządzanie wieloma ramami i regulacjami międzynarodowymi
Firmy globalne są zobowiązane do przestrzegania lokalnych i międzynarodowych przepisów dotyczących prywatności i ochrony danych. Prowadzi to do złożonego procesu zarządzania, zwłaszcza w czasach, gdy krajowe przepisy dotyczące ochrony danych stają się coraz bardziej rygorystyczne.
W związku z tym Frédéric radzi:
- Przestrzegaj standardów firmy, takich jak ISO27001.
- Przygotuj szablony, aby pomóc lokalnym podmiotom osiągnąć zgodność.
- Zastosuj ustandaryzowane podejście do bezpieczeństwa IT i ryzyka IT w celu generowania standardowych raportów.
- Zastosuj to samo podejście do zarządzania wszystkimi elementami.
Kluczowe rady, aby zachować wiedzę i zgodność
Negocjowanie wielu ram i przepisów może być nie lada wyzwaniem dla CISO.
Dla Frédérica nadążanie za przestrzeganiem przepisów to „niekończąca się historia”, która wymaga dużo czytania, badań w Internecie i korzystania z cennych kanałów informacyjnych, takich jak Rada Doradcza Vigitrust.
Równolegle z tym wyzwaniem jest zachowanie zgodności. Jak to ujął Frederic, „to codzienne zadania, na których musimy się skupić, aby wkrótce później osiągnąć kolejny kamień milowy w zakresie zgodności”.
Źródło: https://www.forbes.com/sites/forbesbooksauthors/2022/09/09/what-is-the-role-of-a-ciso-in-compliance/