-PSD2 và thiết bị di động

Capture98

“Điều luật dịch vụ và chi trả đã được hoàn chỉnh, còn được gọi là PSD2, chú ý nhiều đến việc bảo mật ứng dụng mạng di động cho ngành ngân hàng, ứng dụng chi trả cho nền tảng di động ví thanh toán điện tử di động và các ứng dụng khác có chức năng chi trả. Bản báo cáo về vấn đề an ninh, tháng 7 năm 2018 PSD2. Điều luật dịch vụ chi trả đã có hiệu lực và điều chỉnh của Ủy ban Châu Âu, quy định các dịch vụ chi trả và nhà cung cấp dịch vụ chi trả (PSP) như ngành ngân hàng. Điều luật thiết lập các quy định và bao gồm tất cả các loại chi trả ví điện tử và không dùng tiền mặt kể cả chi trả qua thiết bị di động và giao dịch trực tuyến. Các quy định bao gồm các yêu cầu bảo mật phải có chuẩn nghiêm ngặt để bảo vệ dữ liệu và quyền riêng tư, truyền tải thông tin an toàn và tính hợp lý của thiết bị và phần mềm, quy định các nhà cung cấp dịch vụ chi trả phải có các cơ chế bảo mật để giảm rủi ro trong các giao dịch trực tuyến và phải có các biện pháp bảo mật được yêu cầu từ các nhà cung cấp bảo mật. Các công nghệ đang được nghiên cứu và phát triển sẽ đáp ứng được các yêu cầu này ở các thiết bị trên nền tảng di động bao gồm giải pháp ảo hoá, tự động hóa, (cùng với cơ chế phát hiện công cụ phần mềm gián điệp do kẻ xâm nhập đưa vào máy tính/ thủ thuật loại bỏ các hạn chế phần mềm ở iPhone, iPad), các yếu tố bảo mật phần cứng, công cụ chống phần mềm độc hại và các giải pháp về phân tích/ cách xử lý trên thiết bị di động.

GDPR và thiết bị di động (GDPR: General data protection regulation) Quy định bảo vệ dữ liệu chung 2016/679 là quy định cuả EU về luật bảo vệ dữ liệu và quyền riêng tư cho tất cả các cá nhân trong liên minh Châu Âu và khu vực kinh tế Châu Âu.
Capture698

“Một trong những thách thức của việc thực hiện quy định và tuân thủ theo định luật GDPR là sẽ là bảo mật thông tin nhận dạng cá nhân (PII) được lưu trên máy tính xách tay và các thiết bị di động khác. Vì nó không nằm ở quyền kiểm soát của các công ty nên khó theo dõi hơn và có nguy cơ bị xâm nhập cao hơn. Theo bản báo cáo GDPR  ngày 13 tháng 10 năm 2017.

Quy định bảo vệ dữ liệu chung (GDPR) là một khung pháp lý có các hướng dẫn cho việc thu thập và xử lý thông tin riêng tư của các cá nhân trong liên minh Châu Âu (EU). GDPR đưa ra các nguyên tắc để quản lý dữ liệu và quyền của cá nhân đồng thời áp đặt các khoản tiền phạt có thể dựa trên thu nhập của cá nhân hoặc doanh nghiệp. Bất kỳ thiết bị và ứng dụng mạng di động nào kể cả các thiết bị cung cấp cho người tiêu dùng chứa hoặc xử lý thông tin nhận dạng cá nhân (PII) phải được bảo mật chống bị tiết lộ và rò rỉ. Các thiết bị và ứng dụng này cần các giải pháp bảo mật mạng di động để ngăn chặn các cuộc tấn công vào thiết bị, mạng và ứng dụng (DNA).

CCPA và thiết bị di động (CCPA California consumer privacy act of 2018) đạo luật về quyền riêng tư của người tiêu dùng ở California.
Capture564

“Nghiên cứu gần đây của PwC (công ty kiểm toán PricewaterhouseCoopers) ước tính chỉ khoảng một nửa số doanh nghiệp Mỹ ảnh hưởng bởi CCPA dự kiến sẽ được áp dụng trước thời hạn cuối sắp ra mắt. Đã đến lúc ý thức và tìm hiểu pháp luật ngày 3 tháng 4 năm 2019.

CCPA “California consumer privacy act “Đạo luật bảo mật người tiêu dùng California là một đạo luật tiểu bang nhằm tăng cường quyền riêng tư và bảo vệ người tiêu dùng cho cư dân của California, Hoa Kỳ. Là đạo luật về quyền riêng tư của người tiêu dùng ở California năm 2018 quy định các doanh nghiệp tiết lộ, kể cả khi được yêu cầu về thông tin cá nhân mà họ thu thập về người tiêu dùng tiết lộ danh tính của bên thứ 3 mua hay tìm được thông tin và cung cấp một số dịch vụ cụ thể để tăng cường bảo mật cho người tiêu dùng. Luật áp dụng cho các doanh nghiệp hoạt động kinh doanh vì lợi nhuận ở California và hoặc là.

a) Có doanh thu hàng năm hơn 25 triệu Đô La.

b) Mua, bán hoặc chia sẻ thông tin cá nhân của 50.000 hay hơn người tiêu dùng, hộ gia đình hay các thiết bị .

c) Thu thập được 50% hoặc nhiều hơn doanh thu hàng năm của họ bằng cách bán thông tin cá nhân. Luật áp dụng rõ ràng và dứt khoát cho các thiết bị di động và ứng dụng mạng di động.

PCI (Payment card industry) Tiêu chuẩn bảo mật dữ liệu ngành kinh doanh thẻ chi trả và thiết bị di động

Capture452

“Tiêu chuẩn bảo mật dữ liệu dữ liệu ngành kinh doanh dịch vụ thẻ chi trả PCI (PCI DSS Payment card industry data security standard ). Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán là một tiêu chuẩn bảo mật thông tin cho các tổ chức xử lý thẻ tín dụng có thương hiệu từ các chương trình thẻ chính. Tiêu chuẩn PCI được ủy quyền bởi các thương hiệu thẻ nhưng được quản lý bởi. Hội đồng tiêu chuẩn bảo mật ngành thẻ thanh toán yêu cầu người bán bảo vệ dữ liệu của chủ thẻ không nhất thiết phải yêu cầu các thiết bị di động bảo mật dữ liệu nhập vào hay lưu trữ của chủ thẻ. “Hội đồng tiêu chuẩn bảo mật PCI 2014”.

Tiêu chuẩn Bảo mật dữ liệu ngành kinh doanh thẻ chi trả (PCI DSS) là một bộ tiêu chuẩn bảo mật được thiết kế để đảm bảo tất cả các công ty chấp nhận, xử lý, lưu trữ hoặc truyền thông tin để thẻ tín dụng duy trì một môi trường an toàn. Các thiết bị di động từ điện thoại thông minh đến máy tính bảng ngày càng được sử dụng nhiều hơn để thực hiện các giao dịch trực tuyến. Để tuân thủ PCI DSS các thiết bị di động này phải được bảo mật nghiêm ngặt điểm cuối giống như các thiết bị đầu cuối ở điểm bán hàng (POS) viết tắt là Point of Sale. Nó sử dụng cho các shop bán lẻ, tại quầy thanh toán tiền trong shop hay là một vị trí có thể thay đổi được khi mà giao dịch xuất hiện trong môi trường kiểu này. Thêm nữa point of sale thỉnh thoảng đáp ứng giống như một hệ thống tính tiền sử dụng máy tính cá nhân và kết nối đến máy chủ để xử lý. Các điểm truy cập vào thiết bị đầu cuối này cần phải có các giải pháp bảo mật mạng di động để ngăn chặn các cuộc tấn công vào thiết bị, mạng và ứng dụng.

*Nền tảng Zimperium giúp bạn đáp ứng các ủy thác qua mạng di động của các yêu cầu PCI DSS này:

MỤC ĐỐI TƯỢNG ĐIỀU KHOẢN
Yêu cầu 5   Bảo vệ tất cả các hệ thống chống lại các phần mềm độc hại và thường xuyên cập nhật phần mềm hoặc chương trình chống vi-rút.
  5.1 Triển khai phần mềm chống vi-rút trên tất cả các hệ thống thường bị phần mềm độc hại tấn công (đặc biệt là máy tính cá nhân và máy chủ).
  5.1.1 5.1.1 Đảm bảo các chương trình chống vi-rút có khả năng phát hiện, loại bỏ và ngăn ngừa tất cả các loại phần mềm độc hại đã biết và chưa biết đến.
  5.2 5.2 Đảm bảo tất cả các cơ chế chống vi-rút được duy trì như sau: Luôn được cập nhật định kỳ, thực hiện quét định kỳ, tạo nhật ký lưu trữ được lưu giữ theo yêu cầu PCI DSS 10.7.
  5.3 5.3 Đảm bảo các cơ chế chống vi-rút đang được vận hành và người dùng không thể vô hiệu hóa hoặc thay đổi, trừ khi được quản trị viên ủy quyền cụ thể ở từng trường hợp trong một thời gian nhất định.
Yêu cầu 6   Phát triển và duy trì các hệ thống và ứng dụng luôn được bảo vệ an toàn.
  6.1 6.1 Thiết lập một quy trình rà soát định kỳ để nhận biết các lỗ hổng bảo mật, nhờ các nguồn bên các đối tác đáng tin cậy cung cấp thông tin về lỗ hổng bảo mật và chỉ định phân loại rủi ro (ví dụ như như nguy hiểm, bình thường hoặc an toàn) cho các lỗ hổng bảo mật mới khi được phát hiện.
  6.2 6.2 Đảm bảo tất cả các hệ thống và phần mềm được cập nhật và được bảo vệ khỏi các lỗ hổng đã biết bằng cách tải về các bản vá bảo mật. Cài đặt các bản vá bảo mật quan trọng trong thời gian ngắn nhất khi nhà cung cấp tung ra bản cập nhật.
  6.3.2 6.3.2 Xem lại cách tùy chỉnh theo ý khách hàng trước khi phát hành đến bộ phận sản xuất hoặc đến tay khách hàng để xác định bất kỳ lỗ hổng bảo mật có khả năng bị khai thác (sử dụng quy trình bảo mật đa lớp hoặc tự động).

HIPAA và thiết bị di động, (HIPAA: Health insurance portability and accountability Act of 1996): Luật liên bang thiết lập các quy tắc về những người có thể xem và tiếp nhận thông tin sức khỏe của bệnh nhân. “HIPAA yêu cầu bệnh viện thực hiện các biện pháp bảo mật dữ liệu bệnh nhân của mình kể cả dữ liệu lưu trữ và xử lý ở các thiết bị di động. Nếu làm lộ dữ liệu hoặc không tuân thủ quy định của HIPAA bệnh viện sẽ phải chịu mức phạt nặng từ 50 ngàn đến 1,5 triệu USD. “Các giải pháp bảo mật Y tế ngày 6 tháng 11 năm 2017. HIPAA (Đạo luật về trách nhiệm giải trình và duy trì bảo hiểm y tế năm 1996) là luật hoa kỳ với các điều khoản về quyền riêng tư và bảo mật dữ liệu để bảo vệ thông tin y tế.

Các thiết bị và ứng dụng mạng di động đang ngày càng được sử dụng rộng rãi và để phục vụ vấn đề lưu trữ và bảo mật dữ liệu bệnh nhân cho các bác sĩ và bệnh nhân. Để tuân thủ quy định HIPAA các thiết bị di động nên được coi là điểm cuối giống như thiết bị đầu cuối ở các điểm máy bán hàng (POS) của máy tính cá nhân và máy chủ. Các ứng dụng mạng di động chứa và xử lý dữ liệu bệnh nhân cũng phải được bảo đảm cơ chế bảo mật và có thể ngăn ngừa các cuộc tấn công, ngay cả trên các thiết bị của bệnh nhân. Các thiết bị và ứng dụng này cần các giải pháp bảo mật di động để ngăn chặn các cuộc tấn công vào thiết bị, mạng và ứng dụng (DNA).

+Nền tảng Zimperium giúp bạn đáp ứng các yêu cầu di động của các yêu cầu HIPAA này:

MỤC ĐỐI TƯỢNG ĐIỀU KHOẢN
164.308   Các biện pháp Bảo vệ hành chính
  (a)(1) (ii) (D) Đánh giá hoạt động của hệ thống thông tin (bắt buộc). Thực hiện các thủ tục để thường xuyên xem xét bản lưu trữ hệ thống về cách hoạt động của hệ thống thông tin, như nhật ký kiểm toán, báo cáo lượng truy cập và việc theo dõi lỗ hổng bảo mật.
  (a)(5) (ii) (A) Cài đặt các bản cập nhật bảo mật theo định kỳ. 
  (a) (5) (ii) (B) Ngăn ngừa phần mềm độc hại. Các quy trình bảo vệ chống lại và phát hiện và báo cáo về các phần mềm độc hại. 
  (a) (5) (ii) (C) Giúp ghi lại nhật ký hoạt động hệ thống và cảnh báo trên các hệ thống quan trọng. 
  (a)(6) (ii) Tiêu chuẩn: Các quy trình về lỗi an ninh. Thực hiện các chính sách và thủ tục để giải quyết các lỗi về an ninh. 
  (a)(6) (ii) Quy cách thực hiện:
Phản hồi và báo cáo (bắt buộc). Nhận biết và phản hồi các lỗi an ninh đáng ngờ hoặc đã biết, giảm thiểu đến mức có thể và thực hiện được quyền quản trị có thế giúp các quản trị viên có thể tác động đến các lỗi an ninh nghiêm trọng mà thực tế đã được biết đến.
Báo cáo về các lỗi an ninh và tác hại của chúng gây ra.

-NDB và thiết bị di động, (Non directional radio beacon): Cục tần sóng vô tuyến vô hướng (là hệ thống thiết bị được lắp đặt tại mỗi sân bay và một số địa điểm cố định để giúp máy bay xác định hướng bay và hướng sân bay cần đến. Các đài NDB sẽ phát một tín hiệu được điều chế AM mang mã Morse (chứa từ 2 đến 3 ký tự) trong băng tần từ 190 KHz – 535 KHz (mặc dù băng tần được phân bổ là từ 190 KHz – 1750 KHz)).

Thực tế đối với nhiều doanh nghiệp hiện tại là có quá nhiều quả bom hẹn giờ về vấn đề bảo mật. Sửa đổi quyền riêng tư (Vi phạm dữ liệu nghiêm trọng đáng chú ý) tại nơi làm việc, gồm cả … các thiết bị cá nhân không bảo mật và bị mất như điện thoại thông minh và máy tính bảng. “Mybusiness.com.Au 2017. Yêu cầu về các vi phạm dữ liệu đáng chú ý (NDB) được nêu trong phần IIIC của đạo luật bảo mật của Úc năm 1988 (Đạo luật bảo mật), đưa ra nghĩa vụ thông báo cho các cá nhân có thông tin riêng tư liên quan đến vi phạm dữ liệu có thể dẫn đến thiệt hại nghiêm trọng. Luật áp dụng cho tất cả các doanh nghiệp hoạt động tại Úc thu thập hoặc lưu giữ thông tin cá nhân của cư dân Úc. Để tìm hiểu cách Zimperium có thể giúp doanh nghiệp của bạn đáp ứng các yêu cầu NDB trên thiết bị di động, hãy liên hệ với chúng tôi ngay.

-NERC và thiết bị di động, ( NERC: North american electric reliability corporation), NERC-CIP (North american electric reliability corporation critical infrastructure protection: Tiêu chuẩn bảo vệ cơ sở hạ tầng quan trọng cho tổng công ty điện bắc mỹ).

Capture123

Việc tuân thủ tiêu chuẩn bảo vệ cơ sở hạ tầng quan trọng luôn bị thách thức khi các thiết bị di động có khả năng kết nối không dây luôn bị xâm nhập trái phép với cơ chế truy cập mạng có dây và không dây, và có thể truy cập vào tài khoản nội bộ và hệ thống mạng sẽ được bảo vệ bởi tiêu chuẩn bảo vệ cơ sở hạ tầng quan trọng trong phạm vi bảo mật điện tử. Bộ Năng lượng ngày 25 tháng 2 năm 2009. Kế hoạch NERC CIP (Bảo vệ cơ sở hạ tầng quan trọng của tập đoàn điện lực bắc Mỹ) là một tập hợp các yêu cầu được thiết kế nhằm bảo đảm các tài sản cần thiết dùng cách vận hành hệ thống điện rộng lớn của bắc Mỹ. Các thiết bị di động từ điện thoại thông minh đến máy tính bảng ngày càng được các kỹ thuật viên sử dụng để phục vụ cơ sở hạ tầng quan trọng. Đối với việc tuân thủ tiêu chuẩn bảo vệ cơ sở hạ tầng quan trọng của tập đoàn điện lực bắc Mỹ các thiết bị di động này phải được coi là điểm cuối. Các điểm cuối này cần phải có các giải pháp bảo mật mạng di động để ngăn chặn các cuộc tấn công vào thiết bị mạng và ứng dụng.

+Nền tảng Zimperium giúp đáp ứng các nhiệm vụ mạng di động của các yêu cầu bảo vệ cơ sở hạ tầng quan trọng tập đoàn điện lực bắc Mỹ :

MỤC ĐỐI TƯỢNG ĐIỀU KHOẢN
CIP-007-6 R2 R2 Quản lý bản vá bảo mật
  2.1 Một quy trình quản lý bản vá phải được theo dõi và đánh giá và cài đặt các bản vá bảo mật cho hệ thống và bảo mật tài liệu quan trọng trong hệ thống mạng và các thông tin về vấn đề an ninh mạng đang diễn ra phức tạp hằng ngày và hằng giờ. 
  2.2 Ít nhất một lần trong mỗi 35 ngày theo lịch, đánh giá các bản vá bảo mật về khả năng có thể được áp dụng và đã được phát hành kể từ lần đánh giá sau cùng từ các nguồn tin cậy hoặc các nguồn được xác định trong phần 2.1. 
CIP-007-6 R3 Ngăn chặn các ứng dụng và mã độc hại
  3.1 Triển khai (các) phương pháp để ngăn chặn, phát hiện hoặc phòng ngừa các cuộc tấn công bằng mã độc.
  3.2 Giảm thiểu các mối đe dọa từ các cuộc tấn cống sử dụng mã độc và phát hiện ra chúng nhanh nhất có thể.
  3.3 Đối với những phương pháp được xác định trong Phần 3.1 sử dụng kỹ thuật phát hiện dựa vào chữ ký (mã của các ứng dụng dùng để xác định cho mã độc đã được biết đến) hoặc các mã độc, có một quy trình cập nhật dựa vào chữ ký hoặc các mã gốc. Quy trình sẽ được xử lý và kiểm tra các mẫu và xác định chữ ký hoặc mẫu có gây hại hệ thống hay không?
CIP-007-6 R4 Giám sát lại các sự kiện bảo mật.
  4.1 Ghi lại nhật ký hệ thống về các sự kiện ở cấp độ bảo mật tài sản trí tuệ và quản lý cấp độ hệ thống và quản lý thông tin an toàn trên không gian mạng BES ( Blackberry Enterprise Server, tên của gói phần mềm trung gian là một phần của nền tảng không dây BlackBerry của Research in motion). (Theo khả năng và Tài sản trí tuệ của hệ thống thông tin không gian mạng BES) hoặc ở cấp độ tài sản trí tuệ hệ thống thông tin không gian mạng (theo khả năng của hệ thống thông tin không gian mạng) để xác định và điều tra thực tế về các lỗi an ninh mạng bao gồm giảm thiểu mức độ rủi ro và giảm ở mức tối thiểu, sau mỗi một sự cố.
  4.1.3 Mã độc được phát hiện.
  4.2 Đưa ra cảnh báo cho các giai đoạn bảo mật mang tính pháp lý, có trách nhiệm xác định và cảnh báo bao gồm việc giảm xuống mức độ ở mức tối thiểu nhất có thể mỗi phân loại trong các loại sự kiện sau (theo khả năng phân tích và điều tra số liệu của Cyber asset hoặc BES Cyber system):
  4.2.1 Mã độc đã phát hiện từ Phần 4.1.
  4.3 Trường hợp khả thi về mặt kỹ thuật, luôn lưu trữ các nhật ký sự kiện có thể áp dụng được và xác định trong Phần 4.1 ít nhất trong 90 ngày liên tiếp theo luật quy định, trừ các trường hợp ngoại lệ theo CIP (Carriage and insurance paid to) Cước phí và bảo hiểm trả tới điểm đến, là một điều kiện của Incoterm, trong đó người bán phải ký hợp đồng chuyên chở và trả cước đến địa điểm theo quy định lấy giấy phép xuất khẩu, nộp thuế và lệ phí xuất khẩu 

           Để tìm hiểu cách Zimperium có thể giúp doanh nghiệp của bạn đáp ứng các yêu cầu tuân thủ NERC CIP cho mạng di động, hãy liên hệ với chúng tôi.

Nhận tin tức mới nhất về An ninh mạng vào hộp thư của bạn

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây