Правила за съответствие с ИТ за индустриите: Гарантиране, че вашият бизнес е съвместим с ИТ
Дата: 19.02.2024
Съдържание:
Сигурността на данните е универсално приета като един от основните елементи на бизнес успеха. Повлияни от цифровизацията и глобалната свързаност, достигащи своя зенит, за компаниите стана изключително важно да пазят своите данни и тези на потребителите изключително защитени. За да се гарантира, че бизнесът няма да се провали в процеса, няколко регулаторни органи излязоха на преден план със своите индустриални съответствие.
Тези спазвания, които някога бяха ограничени до тежки за данни сектори като Fintech, здравеопазване, електронна търговия и т.н., бавно започнаха да се появяват и при възприемането на технологиите. В светлината на това, готовността за съответствие стана задължителна за всеки бизнес, работещ с фокус върху технологично задвижвани цифрови предложения – мандат, който идва със свързаните с него ползи и отражение върху разходите. За справка средната цена за поддържане на съответствие за организации във всички индустрии по света е 5,47 милиона долара, докато несъответствието може да им струва средно 4 005 116 долара загуби на приходи.
В тази статия ще се потопим в пространството на регулациите за съответствие с ИТ, като разгледаме причините, поради които съответствието е необходимо, спазването на регулаторните изисквания в индустрията и в крайна сметка страничните ефекти от неспазването на стандартите за съответствие.
ЗАЩО СЪОТВЕТСТВИЕТО В ИТ ИНДУСТРИЯТА Е ТОЛКОВА ВАЖНО?
ИТ съответствието и сигурността са необходими за защита на клиентите, клиентите, служителите и поверителността на компаниите и за увеличаване на доверието, което клиентите имат в бизнеса. Когато компаниите следват високи стандарти за поверителност и цифрова сигурност чрез стандарти за съответствие, техните клиенти в крайна сметка се чувстват сигурни, когато използват техните услуги.
Дори и да оставите клиентите извън картината, значението на регулациите за ИТ съответствие в САЩ все още може да се разглежда като имащо трайно въздействие върху вашата бизнес репутация и приходи. Например цената на несъответствието може да доведе до това, че бизнесът губи средно $5,107,206, тежки правни санкции и загубени бизнес възможности, свързани с невъзможността да си партнира с компания, която оперира в географска област, в която има голямо съответствие.
Тъй като съответствието и регулациите на индустрията стават толкова разпространени в дигиталното пространство, защо бизнесът все още се бори със спазването им? Ето някои причини, които идентифицирахме, след като бяхме част от дигиталното пътуване на над 300 бизнеса.
- BYOD: Разрешаването на служителите да използват устройствата си за работа спестява огромна сума пари. Но при липса на подходяща политика за BYOD компаниите също губят необходимия фокус, за да останат в съответствие.
- Управление на доставчици от трети страни: Доставчиците са изключително важни, когато става въпрос за подпомагане на бизнеса да работи. Въпреки това, като прехвърлите данни на доставчик трета страна, вие се отваряте за уязвимости и нарушения на данните.
- Софтуерни актуализации: Съвременното технологично пространство непрекъснато се надгражда. За да бъдат в крак с това, софтуерните компании често пускат нови актуализации. Времевите ограничения обаче пречат на бизнеса да актуализира софтуера си в реално време, което води до невъзможността да останат в безопасност и да са в крак със съответствието.
- IoT: Интернет на нещата свързва смарт устройства. Но сигурността в IoT мрежите все още е на ниско ниво, така че трябва да сте сигурни, че устройствата се тестват често за пробиви или че устройствата са свързани към мрежа, която няма достъп до чувствителни данни.
Сега, след като разгледахме причините, поради които стандартите за съответствие на индустрията са критични за спазване, нека да преминем към регулациите за индустрията и начините, по които можете да гарантирате, че вашите продукти/бизнеси са приведени в съответствие с тях.
ИНДУСТРИАЛЕН СПИСЪК С ИЗИСКВАНИЯ ЗА СЪОТВЕТСТВИЕ С ИТ
Въпреки че всяка индустрия е различна, същността на ИТ регулаторното съответствие във всички различни сектори е повече или по-малко една и съща – защитата на данните на потребителите и бизнес информацията от злонамерени страни.
Здравеопазване
Въпреки че има множество здравни ИТ съответствие в глобален мащаб, HIPAA и HITECH са две от най-важните съответствие, обикновено следвани от бизнеса в тази област. Ако следвате и двете спазвания, заедно с други, в усилията си за разработка на софтуерни продукти. Резултат? Клиентите ви ще са готови за съответствие в деня.
HIPAA
Законът за преносимост и отчетност на здравното осигуряване (HIPAA) подчертава използването и разкриването на здравна информация за защита на поверителността на пациентите. Правилото за съответствие на ИТ сигурността в здравеопазването е създадено, за да гарантира, че здравната информация на индивидите е защитена, като същевременно позволява информационния поток, необходим за насърчаване на висококачествено здравеопазване.
За да се приведат в съответствие с изискванията на HIPAA в здравната индустрия, всички организации трябва:
- Уверете се, че целостта, поверителността и наличността на електронна защитена здравна информация (e-PHI) е съвместима с HIPAA.
- Идентифицирайте и защитавайте срещу очаквани заплахи за информационната сигурност
- Защита срещу непозволено използване или разкриване на данни, които не са разрешени от съответствието
HITECH
Следващото ИТ съответствие в здравеопазването е Законът за здравните информационни технологии за икономическо и клинично здраве (HITECH). Той е създаден, за да насърчи смисленото използване и приемане на здравна информация и технологии. Той разглежда опасенията за сигурността и поверителността, свързани с електронния трансфер на здравна информация.
За да отговарят на изискванията на HITECH в здравната индустрия, организациите трябва:
- Защитете e-PHI на пациентите
- Генерирайте всички рецепти по електронен път
- Внедрете система за подпомагане на клинични решения
- Използвайте компютъризирано въвеждане на поръчки на доставчик (CPOE) за поръчки за лаборатория, лекарства и образна диагностика
- Предлагайте своевременен достъп на пациентите до електронните досиета
- Участвайте в обмена на здравна информация
- Бъдете част от отчитането на общественото здраве
- Уведомете всички засегнати лица в рамките на 60 дни от откриването на нарушение на незащитена защитена здравна информация
Образование
Образователните институции работят с чувствителна информация за служители и студенти, данни от изследвания и информация от държавни органи. За да защитят този набор от данни, организациите трябва да поддържат съответствие с FERPA.
Законът за семейните образователни права и поверителност (FERPA) е федерален закон за управление на ИТ в Съединените щати, който защитава данните и поверителността на образователните записи на учениците. Това дава на тях и родителите контрол върху образователните досиета и ограничава образователните институции да разкриват лична информация в образователните досиета.
Ето основните изисквания на регламента за съответствие с ИТ на FERPA:
- Извършете задължително обучение по FERPA за администратори, учители или други училищни служители
- Напомняйте на учениците за техните права всяка година
- Дайте съгласие, което позволява на родителите или отговарящите на условията ученици да преглеждат записите по всяко време
- Защитете личните данни на учениците
Финтех и банкиране
Тъй като е една от най-насочените индустрии сред хакерите, домейнът на финансовия софтуер изисква по-строги ограничения от спазването на нормативните изисквания в сравнение с това, което се налага на други индустрии. Ето списъка на съответствието във финансовата индустрия, който трябва да бъде следван от бизнеса в този сектор.
PCI DSS
Стандартът за сигурност на данните в сектора на разплащателните карти (PCI DSS) е комбинация от стандарти за сигурност, създадени, за да гарантират, че всяка компания, която приема, обработва, съхранява и предава информация за картите на потребителите, трябва да поддържа безопасна среда. Нашите финтех разработчици са добре запознати с дребните детайли на съответствието – опит, отразен в проекта USA MedPremium, който постигна съответствие с PCI DSS в деня, в който беше внедрен.
Ето какво включва ИТ съответствието за финансовите институции:
- Съответствието с PCI изисква инсталиране и поддръжка на конфигурация на защитна стена, която да защитава информацията на картодържателите
- Не използвайте предоставените от доставчика настройки по подразбиране за системни пароли
- Защитете данните, съхранявани локално
- Криптирайте предаването на данни на картодържателя във всички отворени обществени мрежи
- Използвайте и рутинно надстройвайте антивирусния софтуер
- Изградете и поддържайте сигурни приложения и системи
- Ограничете достъпа до данните на картодържателите от това, което фирмите строго трябва да знаят
- Проследявайте и сканирайте всеки достъп до данните на картодържателя и мрежовите ресурси
- Редовно тествайте процеси и системи за сигурност
- Поддържайте политика, която се фокусира върху информационната сигурност
GLBA
Законът на Gramm-Leach-Bliley (GLBA) се прилага за всяка финансова институция, която предлага финансови или инвестиционни съвети, застраховки или заеми на своите клиенти. Това съответствие в застрахователната индустрия задължава институциите да разкрият как защитават информацията на клиентите и какви политики за споделяне на информация са въвели.
Ето правилата, които трябва да се следват от GLBA IT съответствие за финансови институции:
- Финансова поверителност: Правилото за финансова поверителност подчертава как финансовите институции събират и разпространяват частна финансова информация. Те трябва да предлагат на клиентите опция да се откажат от политиката за споделяне на информация всяка година.
- Защита: Правилата, базирани на защита, определят как институциите трябва да използват мерки за сигурност, за да защитят данните на своите клиенти от кибер заплахи. Тези мерки се състоят от използване на подходящ софтуер, обучение на служителите и тестване на софтуер за уязвимости.
- Предтекст: частта от претекста на съответствието във финансовата индустрия ограничава бизнеса да събира информация под претекст.
Закон Сарбейнс-Оксли
Законът Sarbanes-Oxley (SOX) е друго задължително съответствие във финансовото пространство на банковата индустрия. Той призовава за прозрачно и пълно разкриване на финансовите данни на компанията. Всяка публично търгувана компания, компания, стартираща IPO, трябва да отговаря на този стандарт. Стандартът задължава компаниите да разкриват точна и пълна финансова информация, така че заинтересованите страни да могат да вземат информирани инвестиционни решения.
Ето изискванията на популярната финтех индустрия за съответствие и разпоредби в САЩ
- Предоставете на SEC финансови отчети, които са одитирани от трета страна
- Докладвайте съществени промени на обществеността
- Проектиране, прилагане и тестване на вътрешни контроли
- Съставете годишен отчет за вътрешния контрол и техния обхват, подписан от ръководството и одитиран от одитор трета страна
Докато PCI DSS, GLBA и SOX формират три от най-важните финтех съответствие в САЩ, някои други разпоредби, с които бизнесът трябва да внимава, включват Дод-Франк, ЕАСТ и Регламент Е, CFPB, SOC 2 и ECOA.
Производство
Подобно на други индустрии, производствените предприятия също са отговорни за защитата на служителите, клиентите, организационните и правителствените данни. Ето различните изисквания, към които трябва да се придържат.
NERC CIP
Съответствието на North American Electric Reliability Corporation за защита на критичната инфраструктура (NERC CIP) в производствената индустрия е изградено, за да защити целостта на цялата комунална инфраструктура в Северна Америка. Всеки собственик, оператор и потребител на масова електроенергийна система трябва да се придържа към стандартите за надеждност, одобрени от NERC.
Предпоставките за постигане на съответствие с NERC CIP в производствената индустрия включват:
- Идентифицирайте и класифицирайте всички активи
- Назначете длъжностно лице по въпросите, свързани със сигурността
- Изградете и управлявайте политики за защита на активите
- Предложете обучение за информираност за сигурността на служителите
- Извършете задълбочени проверки на миналото на служителите
- Изградете контроли за управление на достъпа според нуждите
- Разработете електронни периметри за сигурност – физически или виртуални
- Управлявайте всички защитени отдалечени точки за достъп
- Създавайте и следвайте планове и периметри за физическа сигурност
- Поддържайте контролите за сигурност на системата с управление на портове и услуги, управление на корекции, регистриране на събития за сигурност, предотвратяване на зловреден софтуер, управление на споделени акаунти и управление на идентификационни данни
- Създайте стратегия за реагиране на инциденти в киберсигурността, която също ще включва непрекъснатост на операциите, планове за възстановяване, архивиране и възстановяване
- Поддържане на управление на уязвимостите и промяна, включваща управление на преходни кибер активи
- Защитете информацията за киберсистемата на BES чрез категоризиране и защита на информацията и изхвърлянето на медии
- Изградете безопасни комуникации в контролния център
- Въведете политики за сигурност на веригата за доставки
ИТАР
Правилата за международен трафик на оръжие (ITAR) разглеждат разработването, износа и вноса на всички артикули за отбрана, предоставянето на всички услуги за отбрана и посредничеството на артикули за отбрана. Основната му цел е да предотврати попадането на елементи и данни, свързани с отбраната, в грешни ръце.
Изискванията за съответствие с ITAR в индустрията са както следва:
- Регистрирайте се в Държавния департамент
- Включете документирана програма за съответствие с ITAR, която ще включва проследяване и одит на всички технически данни
- Предприемете стъпки за защита на данните, специфични за артикулите в списъка на боеприпасите на САЩ
УХО
Регламентите за администриране на износа (EAR) регулират износа, реекспорта и трансфера на по-малко чувствителни военни артикули, търговски артикули с военно приложение и чисто търговски артикули без очевидна военна употреба.
Ето какво включва информационната сигурност за съответствие с EAR:
- Класифицирайте вашия артикул с помощта на Commerce Control List
- Създайте писмени стандарти за съответствие при износ
- Разработване на непрекъсната оценка на риска на експортната програма
- Създайте ръководство за политики и процедури
- Осигурете непрекъснато обучение и информираност за съответствие
- Провеждайте непрекъснат скрининг на изпълнители, клиенти, продукти и транзакции
- Спазвайте регулаторните изисквания за водене на записи
- Мониторинг на съответствието и одити
- Създайте вътрешна програма за справяне с проблеми със съответствието
- Изпълнете подходящи коригиращи действия в отговор на нарушения при износ
Допълнителни съответствие, следвани от всички индустрии
Въпреки че изброените по-горе са списъци на стандарти за съответствие с ИТ за индустрията, има и някои допълнителни разпоредби, които се следват от бизнеса в допълнение към тях. Нека да разгледаме и тях.
GDPR
Общият регламент за защита на данните (GDPR) е най-строгият закон за поверителност и сигурност в света. Регламентът влезе в сила през 2018 г., за да защити поверителността и сигурността на гражданите в ЕС. GDPR се прилага за всяка организация, която обработва личните данни на или доставя стоки и услуги на граждани или жители на ЕС.
Когато работехме върху Slice, в момента, в който чухме идеята, знаехме, че ще трябва да го подготвим за GDPR – нещо, което постигнахме, следвайки изискванията на т.
Ето какво включва съответствието с ИТ нормативните изисквания на GDPR:
- Провеждане на информационен одит относно личните данни в ЕС
- Информирайте клиентите защо използвате и обработвате техните данни
- Оценете дейностите по обработка на данни и по-добра защита на данните със стратегии като организационни предпазни мерки и криптиране от край до край
- Изградете споразумения за обработка на данни с доставчиците
- Назначаване на длъжностно лице по защита на данните (ако е необходимо)
- Определете представител в региона на ЕС
- Знайте какво да правите в случай на нарушение на данните
- Спазвайте всички необходими закони за трансграничен трансфер
CCPA
Законът за защита на личните данни на потребителите в Калифорния (CCPA) дава на покровителите в Калифорния контрол върху информацията, която фирмите генерират от тях. Правилата на CCPA се прилагат за всеки бизнес с печалба, който работи в Калифорния и прави следното:
- Имате брутен годишен приход от над 25 милиона долара
- Купувайте, продавайте или разпространявайте лична информация на 100 000 или повече потребители, устройства или домакинства в Калифорния
- Генерирайте 50% или повече от годишните си приходи от продажбата на информация за жителите на Калифорния
Изискванията за спазване на изискванията на CCPA в индустрията включват:
- Информирайте потребителите за намерението да съберете техните данни
- Осигурете на потребителите директен и лесен достъп до политиката за поверителност
- Дайте на потребителите тяхната информация в рамките на 45 дни от искането
- Изтриване на личните данни на потребителите въз основа на тяхно искане
- Позволете на потребителите да отменят продажби и маркетингови кампании, които събират тяхната лична информация
- Актуализирайте политиката за поверителност всяка година
NIST
Доброволната рамка, рамката за киберсигурност на Националния институт за стандарти и технологии (NIST), дава възможност на бизнеси от всички размери да разбират, управляват и намаляват своите рискове за киберсигурността.
Ето изискванията за съответствие с ИТ сигурността на NIST:
- Идентифицирайте и категоризирайте всички данни, които трябва да бъдат защитени
- Извършвайте навременни оценки на риска за установяване на основни контроли
- Настройте базовата линия за минимален контрол за защита на информацията
- Запишете базовите контроли писмено
- Изградете контрол за сигурност около всички онлайн и ИТ системи
- Непрекъснато проследявайте ефективността, за да прецените ефективността
- Непрекъснато наблюдавайте всичките си контроли за сигурност
МНОГО-KYC
Подгрупа на AML, процесът Know Your Customer (KYC) се провежда, за да се провери и потвърди самоличността на всеки клиент и да се предотврати извършването на незаконни дейности в софтуера, като пране на пари или измама. Помогнахме на редица наши клиенти, включително Slice, Exchange, Asian Bank и т.н., да се придържат към съответствието с KYC-AML в ИТ индустрията. как? Като следвате изцяло основите на съответствието.
- Изпълнете програма за идентификация на клиента – Съберете данни около име, адрес, номер за връзка, националност, дата на раждане, място на раждане, професия, име на работодател, цел на транзакцията, действителен собственик и идентификационен номер
- Надлежна проверка на клиента на три нива – опростено, основно и подобрено
- Непрекъснато наблюдавайте транзакциите на вашите клиенти спрямо праговете, вградени във вашите рискови профили
WCAG
Указанията за достъпност на уеб съдържанието са набор от множество критерии за успех и насоки, според които уеб базираните приложения и уебсайтове се считат за достъпни за хора с увреждания и увреждания. Поддържайки изискванията на съответствието и разпоредбите на тази индустрия в най-голяма степен, ние изградихме Avatus – платформа, която днес се използва от хора със специални нужди с комфорт.
- Ниво A: Това е основното ниво на WCAG, което гарантира, че всички основни функции за достъпност са налице.
- Ниво AA: Ниво AA адресира по-голям набор от проблеми с достъпността. Този етап се състои от елементи от ниво А заедно с други строги стандарти, насочени към подобряване на достъпността за широк спектър от увреждания, включващи идентифициране на грешки и цветови контраст
- Ниво AAA: Най-изчерпателното ниво, ниво AAA се състои от всички критерии от нива A и AA, с допълнителни, по-строги изисквания. Докато се стреми към придържане към ниво AAA, уебсайтът трябва да бъде направен високо достъпен, нещо, към което не е задължително да се стремят фирмите.
КАК РЕГУЛАТОРНИТЕ ОРГАНИ ПОДХОЖДАТ КЪМ ТЕХНОЛОГИЧНИТЕ ИНТЕГРАЦИИ
До този етап разгледахме много стандарти за ИТ съответствие и сигурност на ниво индустрия. Това, което остава сега, е да погледнем как регулаторните органи подхождат към технологичните интеграции в цифровите продукти. Двете технологии, които държим на фокус тук, са AI и Blockchain.
В световен мащаб обща тема сред регулациите, базирани на ИИ, е фокусът върху отчетността и прозрачността. Правителствата се застъпват за изграждане на механизми за отчетност, насочени към пристрастия, защита на дискриминацията и държане на разработчиците отговорни за модела на ИИ, който изграждат.
Blockchain има подобна история, която да сподели със страните, които все още разширяват своите разпоредби, за да бъдат в съответствие с иновациите, случващи се в децентрализираното пространство. Ето един поглед към крипто регулациите за всяка държава, действащи по целия свят
КАК ДА ГАРАНТИРАМЕ ГОТОВНОСТ ЗА СЪОТВЕТСТВИЕ ПРИ РАЗРАБОТВАНЕТО НА ПРОДУКТИ?
След като разгледахме обстойно списъка на съответствието в ИТ индустрията, в различни сектори, сигурен съм, че сигурно се чудите как да започнете в пътуването за готовност за съответствие. Докато краткият и практичен отговор би бил да намерите правилните партньори, в зависимост от това на кой етап се намирате от жизнения цикъл на продукта.
Това означава, че ако изграждате продукт, който ще работи в индустрия, изискваща тежко съответствие, трябва да си партнирате с доставчик на ИТ консултантски услуги като нас. Ние не само консултираме бизнеса относно начините за спазване на изискванията, но също така имаме специализиран опит в областта на създаването на цифрови продукти, които следват стандартите за съответствие на софтуера в САЩ и по целия свят.
От друга страна, ако сте на етап, в който вашият продукт е активен, но не е съвместим, ще имате две възможности – или да си партнирате с експерт по съответствието, или отново агенция за разработка на софтуер като нас, които сме работили с множество бизнеси, ориентирани към съответствието .
Така или иначе, надяваме се, че статията ще ви даде цялата информация, от която ще се нуждаете относно разпоредбите за съответствие с ИТ, и сега удобно ще стигнете до етап, в който ще знаете коя регулация е подходяща за вас и какво трябва да сте готови да спазвате.
Готови ли сте да спазвате най-високите регулаторни стандарти във вашата индустрия? Свържете се
ЧЕСТО ЗАДАВАНИ ВЪПРОСИ
В. Какво е съответствие в ИТ?
A. Съответствие в отрасли, включително ИТ, е състоянието на спазване на политиките, изградени от местни и глобални регулаторни органи. За ИТ домейна политиките обикновено се въртят около сигурността на данните, когато са в транзит и в покой.
В. Защо всеки бизнес трябва да обръща внимание на съответствието с ИТ?
A. Съответствието в ИТ индустрията е от решаващо значение за защита на клиентите, клиентите, служителите и поверителността на компаниите и за увеличаване на доверието, което клиентите имат в бизнеса. Освен това осигуряването на управление на ИТ в Съединените щати може да се разглежда като имащо трайно въздействие върху вашата бизнес репутация и приходи
В. Как да разбера към кои разпоредби трябва да се придържа моят бизнес?
О. Ще намерите отговора за спазването на правилните разпоредби за ИТ съответствие, като разгледате вашите конкуренти или се консултирате с екип за разработка на софтуерни продукти като нашия, който има опит в работата с индустрии, изискващи тежко съответствие.