菜单

打电话给我们 03450 21 21 51

GDP.和赌博行业的数据安全性
SRM.博客

GDP.和赌博行业的数据安全性

本文首先出现在Q3版的赌场&游戏国际(CGI)并在这里出现了他们的善意。

由于一般数据保护规范汇总的影响,保罗布伦切尔探讨了对赌博行业的影响,并解释了如何简单的行为,而是一种行业范围改变的思维,这是有效数据安全的关键。

背景

赌博业一直是犯罪分子的目标,无论是现实和虚构。从刺痛到海洋的十一个和锁,股票和两桶,电影世界长期以来一直密切联系了克里宁罪犯在赌场和获胜的罪犯的想法。关于有吸引力和吸引力的流氓在看似匿名的赌博企业中,有一些本质上有些令人满意的令人满意的令人满意的是,这种企业被认为是几乎受害者的犯罪行为。在好莱坞的虚构世界中,不可避免的续集推出了反思,可能无意中,情况的现实:赌场和博彩企业越来越多的违规行为。然而,他们不一定表明是另一个现实:在在线赌博的新时代,受害者非常真实。他们是个人数据被盗的个人。

网络攻击有多种形式,但它们可以广泛地分类为破坏操作的那些,例如分布式拒绝服务(DDOS)攻击,其中受感染的计算机使用流量泛滥网络。还有一些旨在数据被盗,针对客户数据,特别是金融信息,如信用卡详细信息,可以在黑暗的网络上销售或用于身份欺诈和勒索软件攻击。这种类型的凭证滥用尤其涉及博彩行业,因为它导致声誉和客户将其在线业务转移到其他提供商。

虽然对抗性威胁是显着的,但内部人士提出的威胁,通常值得信赖的员工,可能会对业务产生更大的风险。具有特权访问员工可以有意或无意地涉及目标违反数据。赌博行业的工作人员倾向于在竞争对手之间切换角色,需要强大的“木匠,搬运工,搬运工,离开的过程。它还需要在每个组织内提高对数据泄漏的认识。

GDP.& PCI DSS

在今年5月成为欧盟法律的新GDPR框架下,如果数据泄露,公司可以被罚款高达4%的收入(或20米欧元,以较高者为准)。由于GDPR的条款首先是已知的,因此已经写了很多关于它的影响以及它在公司管理数据的方式上的影响。然而,存在需要解决的重要误解。

与目前的公众感知相反,实际上没有GDPR合规性。它是一个规定,需要数据系统是安全的,但它是对解释并以详细指导的方式开放的。年度审查也不是验证合规性。

另一方面,支付卡行业(PCI)数据安全标准(DSS)调节游戏行业,以确保支付卡详细信息与最佳实践一起使用并保持安全,确实提供了一个详细的框架,指定需要的内容完成以及如何。 PCI DSS甚至提供定期更新和指导评论。因此,PCI DSS符合要求的人在满足GDPR的要求的路上。它是首席信息安全官员(CISOS),数据保护人员(DPO)及其顾问在差距存在的情况下锻炼身体的作用,以确保组织在实践中遵守GDPR。

虽然PCI DSS合规流程无可否认是有用的,但必须比作一个MOT;它仅适用于给定的时刻。对进程的一个不合适的控制请求或更改变更可以使合规性无效。正在进行的测试和维护至关重要,这是最好通过改变的企业思维集进行管理,该集合嵌入了组织的每个级别的数据安全性。

一种有效数据安全的板级方法

GDP.和PCI DSS彼此相互补充,如果全能管理,可以提供巨大的益处,以效率和声誉,同时也减轻了违规的潜在损害。但是,鉴于PCI DSS遵从性只是在一个时刻验证遵守情况,数据安全的关键是不关注特定的合规性目标,术后每年一次勾选一次,而是开发企业思维 - 设置具有“框框”方法的“合规性”,并拥有正在进行的更新和维护。

这种改变的思维方式需要一家公司的策略,该战略是在董事会层面开发的,然后以实用,简单的形式传播给每个员工或业务的每个员工或伴侣。为此,成为一个现实的目标,数据安全的责任不能简单地将其DPO或DPO分开;它也不应该被视为只在IT部门的范围内。为了真正有效,董事会各一切和每个成员都有责任推动并监督该组织的数据安全职责。数据安全应在每个董事会会议上的议程上。

然而,鉴于数据安全和合规流程的复杂性,具体所有权将在这些技术合格的个人手中。然而,除非提供专业支持和资源,否则他们将无法有效地对董事会层面发挥影响。与公司会计师或由专家法律团队提供法律部门的支持提供的支持,CISO需要获得专家数据安全支持,以提供战略指导和技术能力,以提高运作的范围。

渗透测试,红色组合和保留取证在制定数据安全策略方面的作用

数据安全的关键要素之一是开发强大的防御策略。然而,这是不够的,制定战略并基于已知的内容构建防御。网络犯罪分子是巧妙的,剥削不仅仅是知名的威胁和漏洞,而且还有方法可以检测到尚未知道或理解的方法。因此,那些只使用自己的理解制定辩护的人将受到他们自己知识的程度的限制。测试和挑战持续的知识是一个基本要素。这就是威胁监测,渗透测试和保留的取证的持续计划进入。

威胁监测是观察网络攻击性质的过程。所有商业网站都将探讨漏洞,最初是通过自动化工具,一旦发现重要的东西,可能会更加齐心协力。具有警报并设置以监视这些攻击的性质,并对他们的攻击性对在线游戏空间中的玩家至关重要。

下一步是定期穿透测试,需要包括自动和手动元素。毕竟,刑事社区使用先进的扫描工具来识别潜在的弱点以及人类思想的额外复杂性,开发和探索这些漏洞。

想象一个带有几乎无限数量的门的房间。自动渗透测试将确定哪些门隐藏潜在漏洞。然后手动测试仪打开这些门,看看它们后面的内容。

进一步迈出比喻,红色的组队将推动门宽,并探索它们背后的东西。红色团队测试人员具有伦理的黑客资格,从业尊敬的机构,如Crest和OSCP,并使用他们的复杂技能来根系,揭开迄今为止的漏洞。

武装此信息,在甚至暴露之前关闭网络犯罪分子的潜在机会的过程可以开始。以这种方式,可以开发数据安全策略,该策略预期在发现之前预测漏洞,而不是简单地反应已知的那些。

这些专家将与专家保留团队合作,以管理辩护过程。在一些专家咨询中,红行团队也将成为保留的法医功能的一部分,以帮助确保该过程是一个持续的,经常接触内置的测试。吸引保留的取证团队不仅有助于管理不断发展的战略防御,但建立在潜在的攻击中的恢复力。

鉴于攻击者的不懈聪明才智,不可能考虑一个免疫攻击的组织。因此,如果发生这种情况,该战略应包括详细计划,特别是在发生违约事件时提示报告。 GDPR要求在72小时内向相关监管机构报告任何违规行为,并且未能这样做将导致采取惩罚行动。

当涉及业务连续性,灾难恢复和遏制的问题时,在手头上有一个保留的取证团队,具有全面了解组织的系统,意味着他们将能够迅速管理此过程,从而限制任何潜在的损坏。

值得注意的是,不仅留存的取证团队的参与促进了系统安全的持续测试,并为有效的维护和发展提供战略情报,它还向相关机构展示了强大的,正在进行的过程到位,从而降低了潜在罚款的水平。

总之

GDP.不应被视为担保或繁重的苦难。它已经开发出来,以便在保护组织和客户免受网络犯罪的数据安全系统中的保障措施。那些充满热情的人,建立持续的测试和锻炼制度进入其系统,将受益于增强的声誉和客户忠诚度。那些使数据担保的人负责董事会的所有成员以及世卫组织开发不断发展不断发展的防御战略可以证明他们对安全性的客户和监管机构展示。它们也是最好的形状,以抵抗潜在的攻击,或偏转或减少一个偏移或减少一个,使得对GDPR和网络弹性的投资是一个声音的商业决策。