随着Covid-19大流行延续,在全球范围内传播,希望维持业务运营和遵守有关个人的新政府授权法规的公司,广泛采用了遥控工作模型。而对于某些类型的工作和部门,这不会出现很大的问题,其他人面临与数据保护法规和行业标准不合规的危险。

这 支付卡行业数据安全标准 (PCI DSS)长期以来一直被认为是远程工作的障碍,因为合规性很难在一个不受控制的环境中实现,例如员工的家。 PCI DSS是一组12个安全要求,可帮助企业保护其支付系统免受违规,欺诈和持卡人数据的盗窃。它们包括等必要实施强大的访问控制措施,保护持卡人数据并维护信息安全策略。

虽然没有法律约束力,但PCI DSS被全局通过金融机构,最重要的银行,并且所有这些公司的所有公司都需要从世界上最大的卡片计划中运行或传输信用卡信息:美国运通,发现,JCB ,万事达卡和签证。

不合规有高价格:组织面临高达100,000美元/月的罚款,并增加交易费用和与其银行的关系终止。更糟糕的是,他们可以发现自己是可怕的 比赛 (管理警报到控制高风险)列表,这将确保他们再也不会允许再次处理卡付款。

PCI DSS在Covid-19大流行期间的合规性

PCI安全标准委员会在目前在世界各地遇到了非凡的情况,并已发布 指导 对于遥控工作,同时强调需要维护安全实践以便此时保护支付卡数据。然而,遥控工作的最佳实践不替代PCI DSS要求,但旨在支持公司在员工在家中工作时满足合规性。

根据指导,保证持续遵守的最佳方法之一是在组织内创建和维护安全的保障文化。这可以通过安全意识计划来实现,该计划通知员工对业务的安全策略和程序,并帮助他们了解数据安全性和合规性的重要性。如果公司在持续的健康危机之前符合PCI DSS,他们应该已经有这样一个计划,因为它是PCI DSS要求12.6的一部分。

在遥控工作的情况下,需要通知和教育员工的需要增加:必须意识到在家中工作的风险 PCI DSS合规性 他们需要做些什么来确保支持处理支付卡数据的系统,流程和设备的持续安全性。

虽然这可能是挑战的办公室,但员工必须知道最重要的要求是,任何用于处理帐户数据的系统都会被牢固维护,无法对任何未经授权的个人访问。这意味着保护外部干扰以及员工本身的任何粗心性,并阻止对其工作进行的地方的物理访问。因此,员工应该维持家庭其他成员无法进入的家庭办公空间。

保护过程

必须有效地监控员工远程和处理卡支付的物理空间,并在始终控制其控制。锁定家庭办公空间是单向员工可以防止对处理帐户数据的任何系统的物理访问。但是,在进行多因素身份验证过程也是必要的,以确保某人可以获得对家庭办公空间的物理访问,他们仍将无法访问帐户数据。

数据传输也可以通过 数据丢失预防(DLP)工具 这允许公司通过预定义的策略监控信用卡信息并通过诸如文件共享服务或即时消息传递应用程序等不安全的退出点来阻止其传输,这些邮件在远程工作时可能会旨在使用该员工。

任何印刷帐户数据也必须牢固地存储,最好在锁定和键下并键,或者在不再需要时切碎或以其他方式销毁。

限制数据曝光

员工应该只使用公司批准的硬件:无论是笔记本电脑,手机还是可拆卸设备。通过这种方式,公司可以保持对系统的控制和技术支持支付处理的技术。组织可以通过应用DLP确保没有未经授权的设备连接到工作计算机 设备控制策略 在端点上限制或阻止USB和外围端口的设备是否在线或不是。

还建议所有公司使用的公司远程使用最新的防火墙,公司防病毒解决方案和安全补丁。这些安全控件需要配置为用户无法禁用它们的方式。

资源://www.endpointprotector.com/blog/pci-dss-compliance-and-remote-work/