Сертификаты безопасности данных для компаний

В современном мире безопасность данных выходит на первое место. По данным CX Lab, 81% российских клиентов откажутся от услуг компании, если узнают, что там произошла утечка данных. Компании стремятся к созданию безопасной среды для информации, чтобы избежать финансовых и репутационных рисков.

ISO 27001, PCI DSS, ФЗ-152, BCR – все это разные стандарты безопасности. Компании получают сертификаты безопасности, которые подтверждают соответствие этим стандартам, чтобы гарантировать безопасность персональных данных своих клиентов и партнеров. Что стоит за этими аббревиатурами?

ISO 27001 – самый известный стандарт из серии ISO/IEC 27000, которую разработали Международная организация по стандартизации и Международная электротехническая комиссия. Он оценивает систему менеджмента информационной безопасности (ISMS), связанную с деятельностью сотрудников, бизнес-процессами, IT-системами и риск-менеджментом. Сертифицированная организация может гарантировать сохранность данных, которую ей доверили третьи лица.

PCI DSS (Payment Card Industry Data Security Standard) относится к безопасности платежных данных. Стандарт разработали платежные системы Visa, Master Card, JCB, Discover и American Express. Любая компания, которая работает с банковской информацией, должна соответствовать этим стандартам. У PCI DSS есть разные уровни, определяющиеся в соответствии с количеством транзакций, проводимых компанией. Самый высший уровень – это более 6 млн. транзакций. Чтобы получить сертификат первого уровня, проводится независимый аудит информационной инфраструктуры, во время которого разрабатываются рекомендации и нормативные документы.

ФЗ-152 регулирует обработку персональных данных на территории России. Закон регулярно дополняется. С 2011 года он обязывает все действующие организации в России разработать и внедрить систему защиты персональных данных. После разработки системы компания должна подать заявление в Роскомнадзор. Если ведомство одобрит заявку, то компания получит сертификат соответствия.

BCR (Binding Corporate Rules) касается, в первую очередь, передачи данных потребителей Евросоюза в страны, которые в него не входят. Эти правила гарантируют безопасную передачу данных и подразумевают единые корпоративные принципы качества их хранения и защиты, обязательность проведения аудитов и тренингов, а также наличие горячей линии, по которой можно сообщить о подозрительной активности.

BCR часто упоминают вместе с GDPR (General Data Protection Regulation), который регулирует безопасность данных в странах ЕС. Сертификат BCR – один из необходимых критериев подготовки к соответствию нормам GDPR. Любая компания, которая работает с данными резидентов Евросоюза, будь то бронирование авиабилетов или онлайн-продажи, с 25 мая 2018 года должна соответствовать нормам GDPR. Данные можно собирать только для конкретных целей и в минимальном объеме, обеспечив их сохранность. Компания должна получить согласие на обработку данных от их владельца, а также сообщить ему, как она будет их использовать.

В Teleperformance мы разработали свою собственную многошаговую систему безопасности данных, чтобы минимизировать риски утечки. Хотите узнать больше? В своей статье «Как защитить конфиденциальность данных в современном мире» Даниель Жульен, СЕО Teleperformance, подробно рассказывает, как компании построить внутреннюю культуру информационной безопасности.

 

Photo by Markus Spiske on Unsplash


Что вы думаете об этом посте?
Оставьте свой комментарий

avatar

*