PCI Policy Management software? [chiuso]

Suggerirei di utilizzare una wiki per archiviare le politiche, ottenere quindi il controllo delle versioni, ecc. È anche possibile creare modelli che includano le informazioni di controllo del documento necessarie per comprovare la data di modifica, la data di approvazione, la data di validità, ecc. Probabilmente potresti cavartela con una wiki leggera, ma se hai SharePoint o KnowledgeTree quelle potrebbero essere la strada da percorrere. Semantic Media Wiki potrebbe anche essere una buona scelta. Anche la rotta wiki è buona perché puoi incorporare keywriter e tag, come i requisiti PCI applicabili che rendono molto più facile tracciare le singole policy e i riferimenti incrociati.

Se guardiamo la Guida al punteggio PCI , vediamo che 12.6.2 dice

12.6.2 Verify that the security awareness program requires personnel to acknowledge, in writing or electronically, at least annually that they have read and understand the information security policy

Consulta sempre il tuo QSA, ma se hai un gruppo abbastanza piccolo, puoi probabilmente combinarlo in qualche modo con il tuo addestramento annuale in 12.6.1; fai una sessione di allenamento con un foglio di accesso e un'altra colonna per l'approvazione delle norme.

Se utilizzi Outlook, puoi utilizzare la funzionalità del pulsante di votazione per raccogliere le risposte, ma probabilmente ti conviene implementare un tipo di app web di sondaggio che ti consenta di compilare domande sul sondaggio. Potresti essere più rigoroso e testarli su ciò che leggono, ma i tuoi principi fondamentali sarebbero un campo nome, una casella di controllo e forse un campo aggiuntivo per le iniziali per un segnale digitale. Se si utilizza SharePoint, è possibile utilizzarlo nuovamente per raccogliere i sondaggi.

Non ho familiarità, ma ho fatto una rapida ricerca e ho trovato questi:

• policyIQ (software di gestione della politica commerciale)
• Power DMS - Policy Workflow (un'altra soluzione commerciale)

Ci può essere una soluzione più personalizzata, ma trovo che un wiki interno facile da usare sia solitamente l'approccio migliore. Consente a molti utenti di aggiornare le politiche, fornisce il controllo della versione e consente a tutti un facile accesso all'ultima versione della politica aziendale per tutti i dipendenti.

Non affronta la tua preoccupazione per le persone che sottoscrivono la polizza ma il punto 12.6.2 di DSS richiede solo che il personale riconosca annualmente di aver letto e compreso la politica. Questo può essere fatto digitalmente tramite e-mail o in altro modo; non deve essere una firma fisica.

Ecco alcuni dei Wiki che consiglierei:

• TWiki - Gratuito
• DokuWiki - Gratis
• Confluence - Pagato
• Wiki Django - Gratis

Modifica

Da quando ho postato questo, ho osservato anche l'uso di un wiki per i riconoscimenti. Finché ogni utente ha il proprio account, è possibile creare una pagina per le firme dell'anno (ad esempio "Riconoscimento delle politiche 2015") e chiunque può modificare quella pagina e aggiungere il proprio nome che attesta di aver letto / accettato le politiche nel Wiki . Dal momento che il Wiki è controllato in base alla versione e di solito consente le differenze di pagina per le modifiche cronologiche, sarà possibile vedere che ciascun account utente univoco ha aggiunto il proprio nome alla pagina. Fornisce la stessa sicurezza dell'e-mail con il vantaggio di mantenere tutti i riconoscimenti su una pagina chiara.

Ecco un esempio di registro delle modifiche da Django Wiki che mostra la modifica e l'utente che ha apportato la modifica:

Non sono consapevole a priori di un particolare sistema che lo fa, anche se sono sicuro che tali sistemi esistano. Detto ciò, nella mia esperienza il software che stai cercando è umano.

1. Le persone ignorano le e-mail di promemoria da un sistema, gli umani sono più difficili da ignorare.
2. L'umano può applicare le conoscenze in merito alle aree di responsabilità e assicurare che le persone giuste vengano ricordate.
3. L'umano può applicare le competenze di traduzione tra i requisiti PCI / QSA e la base di documentazione stabilita dell'azienda che un sistema non può.
4. In breve, la conformità PCI è un problema di gestione dei progetti e il software non gestisce i progetti, le persone lo fanno.

Sì, questi doveri legheranno risorse significative da quell'essere umano almeno una volta all'anno. A seconda del motivo per cui è necessaria la conformità PCI, può valerne la pena (un commerciante può attribuire meno valore al perfezionamento del processo di verifica della conformità rispetto a un processore di pagamento, ad esempio, le sanzioni per la mancata conformità sono più severe per quest'ultima). Sfortunatamente, questo è il nome del gioco di conformità. Molte persone dicono che non si deve confondere la conformità con la sicurezza - non si dovrebbe nemmeno presumere che possa essere fatto in modo efficiente.

La mia ultima società ha usato EtQ Reliance. Ma non era economico o facile da usare.

link

Prima di EtQ abbiamo usato un sistema basato su carta e abbiamo fatto in modo di seguire la regola se non sei stato formato su un documento e hai firmato, quindi non puoi fare quello che è per quel documento. E i responsabili di un processo non possono metterlo in produzione senza che la documentazione sia completata e firmata.

Però ci vuole un sacco di tempo.

Non sono sicuro che questo sia un problema affrontato al meglio con una soluzione tecnica.

Il tuo team di gestione ha deciso, presumo, che sia un requisito aziendale ottenere la conformità PCI? (Se no, allora perché vorresti provarci?)

Quindi se hai un utente che non inserirà il lavoro, il loro capo deve urlargli contro finché non lo fanno. Le politiche aziendali non sono opzionali.

(Ora, non sto dicendo che non dovresti cercare di rendere il sistema più agevole per i tuoi utenti. Dovresti sempre provare a farlo, ma non è permesso loro di saltare il lavoro nel frattempo.)

Non sono sicuro di aver trovato una soluzione, ma in caso contrario - MetaCompliance Policy Management Software Solution Questo è un sistema di gestione delle policy che è ottimo per creare le politiche e distribuirle allo staff e ai fornitori di terze parti. Automatizza la distribuzione delle policy e ha una funzionalità di applicazione che garantisce l'iscrizione del personale. Ogni risposta viene catturata e visualizzata in audit e report di facile lettura. Spero che questo aiuti (Karen McNaught, Marketing Manager Metacompliance).

Mi piacerebbe raccomandare MetaCompliance - hanno una suite di Policy Software Solutions (SaaS) che copertura Governance, rischio e conformità (GRC), sicurezza e sicurezza delle informazioni. Il loro software incoraggia la massima partecipazione dell'utente quando si tratta di queste aree.

Il software è conforme a ISO 27001, ITIOL e COBIT Governance Framework e include una serie di strumenti di reporting che includono metriche relative all'attività di apprendimento del contenuto, alla gestione del rischio e alla produzione di report per auditor e regolatori.

Funziona su dispositivi mobili