Qual é o papel de um CISO em conformidade?

Uma discussão com Frédéric Jesupret, Group Information Security Officer da Allianz Partners

Desde que o PCI Standards Security Council lançou a versão 4.0 do PCI DSS em 31 de março, ele se tornou o centro do debate no setor global de pagamentos e conformidade.

À medida que novos regulamentos de privacidade são criados e atualizados, as discussões sobre gerenciamento de privacidade estão aumentando em todo o mundo.

Falei recentemente com Frédéric Jesupret, Group Information Security Officer da Allianz Partners, subsidiária global de assistência e serviços de seguros do Allianz Group, sobre as mudanças na conformidade com PCI DSSv.4.0, elementos-chave na gestão de regulamentos internacionais, treinamento e desafios de conformidade.

A evolução do PCI DSS v4.0 – o que há de novo?

O PCI DSS v4.0 surgiu este ano com a proposta de levar a conformidade a um novo nível e aumentar a segurança no setor de pagamentos. No entanto, as empresas devem se preparar para incorporar a nova norma em seu escopo.

O novo padrão permite que as empresas usem diferentes maneiras de atender aos requisitos de segurança.

Segundo Frédéric, o desafio é que as empresas precisarão se adaptar ao novo padrão e às exigências de seus sistemas. No entanto, ele acrescenta que o PCI DSS v.4.0 será um passo importante para as empresas, pois “o novo padrão nos ajudará a melhorar nossa conformidade e também nos preparará para a conformidade com outros padrões possíveis no futuro”.

Gerenciando várias estruturas e regulamentações internacionais

As empresas globais são obrigadas a seguir os regulamentos locais e internacionais de privacidade e proteção de dados. Isso leva a um processo de gerenciamento complexo, especialmente em um momento em que as regulamentações nacionais de proteção de dados estão se tornando cada vez mais rigorosas.

A este respeito, Frédéric aconselha:

• Cumprir com as normas da empresa, como ISO27001.
• Prepare modelos para ajudar as entidades locais a alcançar a conformidade.
• Adote uma abordagem padronizada para segurança de TI e risco de TI para gerar relatórios padrão.
• Adote a mesma abordagem para gerenciar todos os elementos.

Conselhos-chave para manter-se educado e em conformidade

Pode ser um grande desafio para os CISOs negociar várias estruturas e regulamentos.

Para Frédéric, acompanhar o compliance é “uma história sem fim” que exige muita leitura, pesquisa na internet e o uso de canais de informação valiosos como o Vigitrust Advisory Board.

Junto a isso está o desafio de manter a conformidade. Como Frederic diz, “são as tarefas do dia-a-dia em que temos que nos concentrar para alcançar outro marco de conformidade pouco tempo depois”.