PCI DSS song

Standard PCI DSS to 12 wymagań:
1.  Zainstaluj i skonfiguruj zapory ogniowe tak aby chronić dane posiadaczy kart
2.  Nie używaj domyślnych, dostarczanych przez dostawców danych w postaci haseł i innych parametrów bezpieczeństwa
3.  Chroń przechowywane dane użytkowników kart
4.  Szyfruj dane posiadaczy kart przesyłane otwartymi, publicznymi łączami
5.  Używaj i regularnie aktualizuj oprogramowanie antywirusowe
6.  Twórz i utrzymuj bezpieczne systemy i aplikacje

7.  Ogranicz dostęp do danych posiadaczy kart zgodnie z zasadą wiedzy koniecznej
8.  Przypisz unikalne identyfikatory wszystkim osobom mającym dostęp do komputerów
9.  Ogranicz fizyczny dostęp do danych posiadaczy kart
10.  Wyszukuj i monitoruj wszystkie próby dostępu do zasobów sieciowych oraz informacji o posiadaczach kart
11.  Regularnie testuj systemy i procesy bezpieczeństwa
12.  Utrzymuj politykę wymagającą spełnianie zasad bezpieczeństwa informacji przez cały personel

By ułatwić i uprzyjemnić ich rozpowszechniania PCI Council zamówiło skoczną piosenkę...



Polecam na poprawę samopoczucia w oczekiwaniu na wiosnę

Ciekawostki z zakresu "zarządzania kryzysowego"

Ostatnio trochę zajmuję się zagadnieniem zarządzania kryzysowego. Trafiłem przy okazji na stronę MSWiA gdzie znajduje się poradnik "Bądź bardziej bezpieczny". W wolnych chwilach warto sobie poklikać i poczytać. Szkoda, niekiedy, że oprócz różnego rodzaju porad co zrobić brakuje wytłumaczenia DLACZEGO

Przykładowo - czytając o schronach podczas ewakuacji należy zakryć plastikowymi torbami okna, kontakty i liczniki,
Dlaczego...szczególnie te liczniki mnie intrygują...A krany i palniki gazowe również? Może ktoś z Was to wie?
Intrygują mnie również te zagrożenia chemiczne przed którymi uda się zabezpieczyć zakrywając kontakty...Ale może za mało się jeszcze na tym znam.
.

Zarządzanie ciągłością na biegunie południowym...

Marcin Fronczak napisał ciekawy tekst porównując planowanie ciągłości funkcjonowania do zdobywania bieguna południowego
Robert Falcon Scott i Roald Amundsen stosowali trochę inne podejście - podejście Amundsena można określić powiedzeniem, że "im więcej trenuję tym więcej mam szczęścia".
Jak pokazuje Marcin planowanie i odpowiednie ćwiczenie niepomyślnych scenariuszy generuje korzyści w skrajnie różnych sytuacjach. W końcu podstawowe zasady są takie same.
Zachęcam do lektury całego artykułu.
.

Niebezpieczne karty RFID

Ostatnio, przy okazji innych tematów kilkakrotnie zaczynała się dyskusja o kartach RFID - czynaprawdę są tak bezpieczne jak przekonują niektórzy.

Własnie zobaczyłem, że Piotrek Konieczny zajął się w tych dniach tematem. By nie powielać bezsensownie treści (chodzą słuchy, że takie jedno ministerstwo drukuje ostatnio internet a lubię lasy) załączam linki do 2 jego ciekawych artykułów.

Tutaj Piotrek pokazuje filmiki na których widać jak kopiuje się dane z kart RFID.
Tutaj są już informacje o tym, że można skopiować jednorazowy kod zabezpieczający CVV i po skopiowaniu na czystą kartę wykorzystać do płatności.

Jak na razie procedura kradzieży gotówki w rozsądnych ilościach byłaby kłopotliwa i długotrwała, niemniej czekam na masowe zastosowania. Skoro już można to teraz tylko chwile dzielą nas od spopularyzowania ataku.

Nowe regulacje dotyczące ochrony danych osobowych

Przed chwilą opublikowano projekty nowej unijnej dyrektywy dotyczącej ochrony danych osobowych. Mają one zastąpić niespójne regulacje obowiązujące w poszczególnych krajach UE, zmniejszyć biurokrację i przy okazji zagwarantować większą ochronę danych osobowych

Załączam wyciąg z komunikatu (pogrubienia moje)

Najważniejsze zmiany wprowadzane przez reformę obejmują:
Jeden zestaw przepisów dotyczących ochrony danych osobowych obowiązujący w całej UE. Niepotrzebne wymogi administracyjne, takie jak obowiązek zawiadomienia ciążący na przedsiębiorstwach, zostaną zlikwidowane. Przyniesie to przedsiębiorstwom oszczędności rzędu ok. 2,3 mld EUR rocznie.

Zamiast obecnego obowiązku zgłoszenia przez wszystkie przedsiębiorstwa wszelkich działań w zakresie ochrony danych organom nadzorującym ochronę danych – który to wymóg spowodował niepotrzebną biurokrację i kosztuje przedsiębiorstwa 130 mln EUR rocznie, rozporządzenie przewiduje większą odpowiedzialność i rozliczalność podmiotów przetwarzających dane osobowe.
Przykładowo przedsiębiorstwa i organizacje muszą powiadamiać krajowy organ nadzorczy o poważnych naruszeniach ochrony danych tak szybko, jak tylko jest to możliwe (jeżeli jest to wykonalne – w ciągu 24 godzin).

Organizacje będą się kontaktować tylko z jednym krajowym organem nadzorującym ochronę danych w tym państwie członkowskim UE, w którym posiadają główną siedzibę. Podobnie osoby fizyczne będą mogły kontaktować się z organem nadzorującym ochronę danych w swoim państwie, nawet jeżeli ich dane są przetwarzane przez przedsiębiorstwo mające siedzibę poza UE. W przypadku gdy do przetwarzania danych konieczna jest zgoda, zostało wyjaśnione, że będzie ona musiała zostać wydana wyraźnie, a nie być domniemana.

Osoby fizyczne uzyskają łatwiejszy dostęp do własnych danych i będą mogły łatwiej przekazywać swoje dane osobowe od jednego usługodawcy do drugiego (prawo do przenoszenia danych). Poprawi to konkurencję między usługodawcami.

„Prawo do bycia zapomnianym” pomoże ludziom lepiej zarządzać ryzykiem związanym z ochroną danych w internecie: osoby fizyczne będą miały możliwość usunięcia swoich danych jeżeli nie będzie istnieć uzasadniona podstawa do ich zachowania.

Unijne przepisy muszą obowiązywać w przypadku gdy dane osobowe są przetwarzane zagranicą przez przedsiębiorstwa prowadzące działalność na rynku UE i oferujące swoje usługi obywatelom UE.
Niezależne krajowe organy nadzorujące ochronę danych zostaną wzmocnione, aby mogły lepiej egzekwować unijne przepisy na terytorium kraju. Zostaną one upoważnione do nakładania kar na przedsiębiorstwa naruszające unijne przepisy o ochronie danych. Kary te mogą sięgnąć 1 mln EUR lub 2% łącznych rocznych obrotów przedsiębiorstwa.

W nowej dyrektywie ogólne zasady ochrony danych zostaną zastosowane w odniesieniu do współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych. Przepisy dyrektywy będą miały zastosowanie do przekazywania danych zarówno w kraju, jak i do transferów transgranicznych.

Zwrócę jeszcze uwagę na Sekcję 3 opowiadającą o ABI (teraz Data Protection Officer):
- ma być powołany ("shall" czyli polskie "powinno" de facto oznacza w normatywnym języku przymus)
- ma być fachowcem znającym m.in kwestie prawne ochrony danych osobowych
- może być współdzielony pomiędzy organizacjami
- ma być niezależny

Jak widać - ogólne kierunki zmian zapowiadają się ciekawie (trzeba teraz przyjrzeć się szczegółom). To czego mi brakuje to informacji o powiązaniu zarządzania danymi osobowymi z ISMS, a może nawet wymogu utworzenia przynajmniej zrębów pozwalających na zarządzanie tym zagadnieniem w organizacji. Smuci też to, że na zmniejszenie biurokracji trzeba będzie jeszcze poczekać ok. 2 lat

Na zakończenie parę nowych/starych definicji

'data subject' means an identified natural person or a natural person who can be
identified, directly or indirectly, by means reasonably likely to be used by the
controller or by any other natural or legal person, in particular by reference to an
identification number, location data, online identifiers or to one or more factors
specific to the physical, physiological, genetic, mental, economic, cultural or social
identity of that person;

'personal data' means any information relating to a data subject;

'processing' means any operation or set of operations which is performed upon
personal data or sets of personal data, whether or not by automated means, such as
collection, recording, organization, structuring, storage, adaptation or alteration,
retrieval, consultation, use, disclosure by transmission, dissemination or otherwise
making available, alignment or combination, restriction, erasure or destruction;

.

ACTA

Type się mówi o ACTA oraz atakach jakie miały miejsce w ostatnich dniach, że nie chciałem dorzucać swoich 3groszy. W sumie tym postem też za dużo nowego nie wniosę, ale pragnę zwrócić uwagę na artykuł Vagli, który przygotował ściągawkę dla dziennikarzy z pytaniami jakie mogliby zadać w temacie ACTA.
Ciekawe ile osób z tego skorzysta. Pytania są...bardzo zasadne i konkretne

Tu kilka przykładów, zapraszam na stronę autora po więcej...

Dlaczego Ministerstwo Kultury i Dziedzictwa Narodowego nie publikuje w swoim serwisie dokumentów zawierających informacje publiczne i w jaki sposób Prezes Rady Ministrów chciałby to zmienić.

Czy premier wiedział o tym co podpisuje, kiedy podpisywał uchwałę pozwalającą na podpisanie ACTA przez Polskę (w tytule uchwały Rady Ministrów nie pojawia się ani angielskojęzyczny skrót, a długi tytuł: "Uchwała Rady Ministrów nr 216/2011 z dnia 25 listopada 2011 r. w sprawie udzielenia zgody na podpisanie Umowy handlowej dotyczącej zwalczania obrotu towarami podrobionymi między Unią Europejską i jej państwami członkowskimi, Australią, Kanadą, Japonią, Republiką Korei, Meksykańskimi Stanami Zjednoczonymi, Królestwem Marokańskim, Nową Zelandią, Republiką Singapuru, Konfederacją Szwajcarską i Stanami Zjednoczonymi Ameryki"

Jeśli premier wiedział, co podpisuje, a wcześniej brał udział w spotkaniach z internautami, na których ten temat kilka razy był podnoszony, to dlaczego nie zrealizował danej wcześniej obietnicy, że taka zgoda rządu na podpisanie traktatu nie będzie udzielona przed wyjaśnieniem z opinią publiczną wszystkich kontrowersji zgłaszanych przez polskie i europejskie organizacje pozarządowe od ponad 2 lat?

Czy toczą się obecnie jakieś ukryte przed oczami opinii publicznej negocjacje z udziałem rządu, dotyczące innych jeszcze porozumień międzynarodowych, które w jakikolwiek sposób mogą być związane z prawnymi aspektami obiegu informacji (w tym ochroną monopoli informacyjnych takich jak prawa autorskie) w społeczeństwie informacyjnym.

W jaki sposób wybrano podmioty, które poproszono o uwagi w konsultacjach społecznych dot. ACTA, które podobno się odbyły?
.