Più regolamentazione e supervisione è implementato a livello globale, la necessità di comprendere procedure e criteri di conformità diventa ancora più importante. Due criteri di conformità critiche sono Payment Card Industry Data Security Standard (PCI-DSS) e la North American Electric affidabilità Corporation protezione delle infrastrutture critiche (NERC-CIP). Entrambi coinvolgono sicurezza e protezione dei beni, anche se in diversi settori industriali.
PCI-DSS
Requisiti PCI-DSS si fusero nel 2006 come un gruppo collettivo di politiche richieste dalle cinque principali di traffico internazionale dei pagamenti al dettaglio elettronica reti: VISA, American Express, Discover, Mastercard e JCB (Japan Credit Bureau). I 12 requisiti di PCI-DSS si applicano alle aziende nel settore finanziario che fanno affari con una di queste cinque società di carte di credito e che sia elaborare, trasmettere o memorizzare numeri di carta di credito (noto anche come "dati dei titolari"). L'impulso per PCI-DSS è quello di fornire la salvaguarda dal furto di identità.
NERC-CIP
Le norme CIP incaricate dal NERC sono in atto per aiutare a salvaguardare il sistema di potere nordamericano. Utilità di produzione di energia elettrica e potenza rivenditori sono soggetti a queste norme. I 18 standard (non tutte le entità sono soggetti a tutti gli standard) sono simili a PCI-DSS, in quanto essi governano come una rete deve essere configurato e dove le attività cyber critici devono essere situato e accessibile (a differenza dei dati del titolare della carta).
Sanzioni per Non conformità
Le sanzioni per la mancata conformità allo standard PCI-DSS sono semplici: se un'azienda dovesse per risultare non conformi, perderanno il loro rapporto di affari con VISA, Mastercard, ecc. Per le aziende in cui business è elaborazione di transazioni finanziarie, è tolto loro sostentamento. NERC istituti sanzioni pecuniarie per aziende dovesse per non risultare in conformità. Multe possono può essere alte come $ 1 milione al giorno per quelle aziende egregiously non conformi.
Altri criteri di conformità e le procedure
Ci sono diverse altre norme, requisiti, criteri e procedure che le organizzazioni devono seguire per proteggere i dati in questa era elettronica. Alcuni di loro includono:
Sarbanes-Oxley (SOX): Stati Uniti federale linee guida che disciplinano la responsabilità con le finanze aziendale e della revisione contabile. Dichiarazione sull'Auditing Standard n. 70 (SAS70): gli standard di revisione per i revisori. Questi standard possono essere applicato alla finanziaria così come industrie di sicurezza. Health Insurance Portability and Accountability Act (HIPAA): le linee guida federali degli Stati Uniti che delinea come medico fornitori e altri devono proteggere dati medici del paziente.
Modalità di adeguamento
In genere, ci sono due parti al passaggio di una verifica di conformità PCI-DSS o NERC-CIP: documentazione e implementazione tecnica. La parte di quest'ultima è fatto da un'organizzazione IT di dipartimento con la Guida in genere da un revisore dei conti ("QSA," il mondo di PCI-DSS). Documentazione viene in genere gestito dai produttori tecnici, ma questi standard sono così relativamente nuovi che è difficile trovare un produttore che ha effettivamente esperienza di scrittura a queste politiche. Il ragazzo di PCI, online presso http://www.thepciguy.com, è una società di consulenza di documentazione tecnica che si specializza nella scrittura di documentazione di conformità PCI-DSS, NERC-CIP e SOX.