usklađenost s regulativom

Regulatorni zahtjevi prema poslovnim subjektima su kompleksni, i zadnjih godina, posebno ulaskom RH u EU se dodatno usložnjavaju, te pokrivaju sve aspekte poslovanja s fokusom na informacijske i komunikacijske tehnologije. Uslijed kompleksnosti razumno je pitanje: Kako postići sukladnost u šumi EU regulative u području sigurnosti i osigurati da ispunjavanje regulatornih zahtjeva iz tog segmenta bude temelj za implementaciju visokog stupnja zaštite u organizaciji? Razumijevanjem cjeline regulatornih zahtjeva i stavljanjem zahtjeva u kontekst poslovnog okruženja organizacije postižemo sukladnost uz implementaciju poslovno opravdanih mjera i kontrola.

PSD 2

Opis

  • Edukacija – PSD2 i podredni akti vezani uz sigurnost informacijskog sustava
  • Analiza zahtjeva i snimka stanja informacijskog sustava obzirom na PSD2 i podredne akte (RTS on SCA and CSC, Security and Operational Risk, Major Incidents, Fraud Reporting)
  • Gap analiza uz posebnu pažnju mogućim iznimkama od „strong customer authentification” – „transaction risk analyses”
  • Definiranje sigurnosnih mjera i izrada plana za postizanje sukladnosti
  • Procjena rizika, te smjernice za unaprjeđenje sigurnosti kod razvoja i implementacije API-ja za pristup AISP/PISP
  • Izrada/unaprjeđenje procesa upravljanja incidentima prema PSD2

GDPR

Opis

  • Edukacija o GDPR zahtjevima iz aspekta informacijske sigurnosti
  • Definiranje upravljačkog okvira, uloga i odgovornosti u području zaštite osobnih podataka
  • Identifikacija osobnih podataka u pohrani
  • Analiza tokova osobnih podataka unutar tvrtke i prema trećim stranama
  • Procjena sigurnosnog i operativnog rizika kod zaštite osobnih podataka
  • Gap analiza u odnosu na GDPR zahtjeve
  • Planiranje i definiranje sigurnosnih mjera, te izrada plana za postizanje sukladnosti
  • Provođenje procjene učinka na zaštitu podataka, za obrade podataka visokog rizika

eIDAS

Opis

  • Analiza poslovne primjene kvalificiranog elektroničkog potpisa i kvalificiranih certifikata
  • Priprema dokumentacije i procesa (CP – Certificate Policy, CPS – Certificate Practice Statement, opis sigurnosnog sustava)
  • Definiranje procesa registracije klijenata
  • Sudjelovanje u izgradnji PKI infrastrukture
  • Definiranje zahtjeva na sustav upravljanja certifikatima (fokus na spremanje kvalificiranih certifikata u cloud-u
  • Priprema za Conformity Assessment
  • Pomoć u registraciji za kvalificiranog pružatelja usluga

PCI DSS

Opis

  • Identifikacija obuhvata PCI DSS (fokus na kartične podatke i segmentaciju mreže)
  • Gap analiza postojećeg stanja u odnosu na PCI DSS zahtjeve
  • Planiranje i definiranje sigurnosnih mjera za postizanje sukladnosti
  • Pomoć kod odabira QSA (Qualified Security Assessor) za certifikaciju

Kako usuglastiti poslovanje s regulatornim zahtjevima?

Z

Sama prijetnja ne predstavlja rizik kada nema ranjivosti koja se može iskoristiti.