Читаем Киберкрепость: всестороннее руководство по компьютерной безопасности полностью

Одно из важных соображений для международных компаний — то, что в разных странах могут действовать собственные законы о защите данных, которые должны соблюдаться наряду с PCI DSS. Например, Общий регламент по защите данных в ЕС устанавливает строгие правила обработки и защиты персональных данных, которые необходимо учитывать в дополнение к требованиям PCI DSS.

Еще одним соображением для международных компаний является тот факт, что в разных странах может быть разный уровень риска мошенничества с кредитными картами и других угроз безопасности. Поэтому в зависимости от страны, в которой работает компания, могут потребоваться различные уровни соответствия PCI DSS.

Компаниям важно быть в курсе специфических требований и правил стран, в которых они работают, а также убедиться в том, что их деятельность соответствует требованиям PCI DSS и любых других подобных законов. Кроме того, компании должны иметь четкое представление о процессах и процедурах, необходимых для соблюдения этих норм, включая связанные с защитой данных и реагированием на инциденты.

Это процесс обеспечения соблюдения предприятием или организацией стандартов безопасности данных индустрии платежных карт и принятия необходимых мер для защиты конфиденциальных данных держателей карт. Аудит соответствия включает в себя регулярную оценку и анализ методов и систем безопасности организации для обеспечения их соответствия требованиям PCI DSS.

Соответствие стандарту PCI DSS обычно обеспечивается брендами платежных карт и банками-эквайерами. Они могут проводить проверки на местах или запрашивать документацию для подтверждения соответствия требованиям. На организации, не выполняющие требования PCI DSS, могут быть наложены штрафы или взыскания, а в некоторых случаях они могут потерять возможность обрабатывать карточные платежи.

Предприятиям и организациям важно постоянно следить за соблюдением требований PCI DSS и регулярно проводить аудит на соответствие стандартам. Это поможет предотвратить утечку данных и защитить конфиденциальную информацию о держателях карт. Кроме того, наличие надежного плана реагирования на инциденты может помочь организациям быстро реагировать на инциденты, связанные с безопасностью данных, и восстанавливаться после них.

Общий регламент по защите данных (GDPR) — это всеобъемлющий закон о защите данных, вступивший в силу 25 мая 2018 года. Он заменяет Директиву ЕС о защите данных 1995 года и распространяется на все организации, обрабатывающие персональные данные граждан ЕС, независимо от местонахождения организации. GDPR устанавливает строгие правила сбора, хранения и использования персональных данных, а также дает частным лицам больший контроль над личной информацией.

GDPR применяется ко всем типам персональных данных, включая имена, адреса и другую идентифицирующую и особо секретную информацию, такую как медицинские и финансовые данные. Положение распространяется на все виды обработки, включая сбор, хранение и использование, и на все типы организаций, в том числе компании, государственные учреждения и некоммерческие организации.

GDPR устанавливает ряд новых прав для физических лиц, включая право на доступ к своим персональным данным, право на удаление своих персональных данных и право возражать против их обработки. Он также налагает новые обязательства на организации, обрабатывающие персональные данные, включая необходимость назначения ответственного за защиту данных и уведомления соответствующих органов и частных лиц об утечке данных.

Организации, не соблюдающие требования GDPR, могут быть подвергнуты значительным штрафам — до 4 % от их годового дохода или 20 млн евро в зависимости от того, что больше. Поэтому организациям важно понимать требования GDPR и принимать меры для обеспечения их соблюдения.

GDPR устанавливает специальные правила и стандарты защиты персональных данных — любой информации, относящейся к идентифицированному или поддающемуся идентификации физическому лицу. Это, в частности, имена, адреса, адреса электронной почты и IP-адреса.

Согласно GDPR, организации должны назначить ответственного за защиту данных, если они являются государственными органами, осуществляют крупномасштабный систематический мониторинг или обрабатывают специальные категории данных. Организации также должны в течение 72 часов уведомить об утечке данных своего сотрудника по защите данных и соответствующий надзорный орган, а в некоторых случаях — и лиц, пострадавших от нарушения.