usklađenost s regulativom
Regulatorni zahtjevi prema poslovnim subjektima su kompleksni, i zadnjih godina, posebno ulaskom RH u EU se dodatno usložnjavaju, te pokrivaju sve aspekte poslovanja s fokusom na informacijske i komunikacijske tehnologije. Uslijed kompleksnosti razumno je pitanje: Kako postići sukladnost u šumi EU regulative u području sigurnosti i osigurati da ispunjavanje regulatornih zahtjeva iz tog segmenta bude temelj za implementaciju visokog stupnja zaštite u organizaciji? Razumijevanjem cjeline regulatornih zahtjeva i stavljanjem zahtjeva u kontekst poslovnog okruženja organizacije postižemo sukladnost uz implementaciju poslovno opravdanih mjera i kontrola.
PSD 2
Opis
- Edukacija – PSD2 i podredni akti vezani uz sigurnost informacijskog sustava
- Analiza zahtjeva i snimka stanja informacijskog sustava obzirom na PSD2 i podredne akte (RTS on SCA and CSC, Security and Operational Risk, Major Incidents, Fraud Reporting)
- Gap analiza uz posebnu pažnju mogućim iznimkama od „strong customer authentification” – „transaction risk analyses”
- Definiranje sigurnosnih mjera i izrada plana za postizanje sukladnosti
- Procjena rizika, te smjernice za unaprjeđenje sigurnosti kod razvoja i implementacije API-ja za pristup AISP/PISP
- Izrada/unaprjeđenje procesa upravljanja incidentima prema PSD2
GDPR
Opis
- Edukacija o GDPR zahtjevima iz aspekta informacijske sigurnosti
- Definiranje upravljačkog okvira, uloga i odgovornosti u području zaštite osobnih podataka
- Identifikacija osobnih podataka u pohrani
- Analiza tokova osobnih podataka unutar tvrtke i prema trećim stranama
- Procjena sigurnosnog i operativnog rizika kod zaštite osobnih podataka
- Gap analiza u odnosu na GDPR zahtjeve
- Planiranje i definiranje sigurnosnih mjera, te izrada plana za postizanje sukladnosti
- Provođenje procjene učinka na zaštitu podataka, za obrade podataka visokog rizika
eIDAS
Opis
- Analiza poslovne primjene kvalificiranog elektroničkog potpisa i kvalificiranih certifikata
- Priprema dokumentacije i procesa (CP – Certificate Policy, CPS – Certificate Practice Statement, opis sigurnosnog sustava)
- Definiranje procesa registracije klijenata
- Sudjelovanje u izgradnji PKI infrastrukture
- Definiranje zahtjeva na sustav upravljanja certifikatima (fokus na spremanje kvalificiranih certifikata u cloud-u
- Priprema za Conformity Assessment
- Pomoć u registraciji za kvalificiranog pružatelja usluga
PCI DSS
Opis
- Identifikacija obuhvata PCI DSS (fokus na kartične podatke i segmentaciju mreže)
- Gap analiza postojećeg stanja u odnosu na PCI DSS zahtjeve
- Planiranje i definiranje sigurnosnih mjera za postizanje sukladnosti
- Pomoć kod odabira QSA (Qualified Security Assessor) za certifikaciju
Kako usuglastiti poslovanje s regulatornim zahtjevima?
Sama prijetnja ne predstavlja rizik kada nema ranjivosti koja se može iskoristiti.