Wat is de rol van een CISO bij compliance?

Een gesprek met Frédéric Jesupret, Group Information Security Officer bij Allianz Partners

Sinds de PCI Standards Security Council versie 4.0 van PCI DSS op 31 maart heeft uitgebracht, is dit het middelpunt van het debat geworden in de wereldwijde betalings- en compliance-industrie.

Naarmate nieuwe privacyregels worden opgesteld en bijgewerkt, nemen de discussies over privacybeheer over de hele wereld toe.

Ik sprak onlangs met Frédéric Jesupret, Group Information Security Officer bij Allianz Partners, de wereldwijde dochteronderneming van de Allianz Group, over de veranderingen in de naleving van PCI DSSv.4.0, belangrijke elementen in het beheer van internationale regelgeving, training en compliance-uitdagingen.

De evolutie van PCI DSS v4.0 – wat is er nieuw?

PCI DSS v4.0 verscheen dit jaar met het voorstel om compliance naar een nieuw niveau te tillen en de veiligheid in de betalingssector te vergroten. Bedrijven moeten zich echter voorbereiden om de nieuwe standaard in hun toepassingsgebied op te nemen.

De nieuwe standaard stelt bedrijven in staat om op verschillende manieren aan beveiligingseisen te voldoen.

Volgens Frédéric is de uitdaging dat bedrijven zich zullen moeten aanpassen aan de nieuwe standaard en de eisen die aan hun systemen worden gesteld. Hij voegt er echter aan toe dat PCI DSS v.4.0 een belangrijke stap zal zijn voor bedrijven, aangezien "de nieuwe standaard ons zal helpen onze naleving te verbeteren en ons ook zal voorbereiden op naleving van andere mogelijke normen in de toekomst."

Beheer van meerdere kaders en internationale regelgeving

Wereldwijde bedrijven zijn verplicht om lokale en internationale privacy- en gegevensbeschermingsregels te volgen. Dit leidt tot een complex beheerproces, vooral in een tijd waarin de nationale voorschriften voor gegevensbescherming steeds strenger worden.

In verband hiermee adviseert Frédéric:

• Voldoen aan bedrijfsnormen zoals ISO27001.
• Bereid sjablonen voor om lokale entiteiten te helpen naleving te bereiken.
• Gebruik een gestandaardiseerde benadering van IT-beveiliging en IT-risico om standaardrapporten te genereren.
• Gebruik dezelfde benadering voor het beheren van alle elementen.

Belangrijk advies om goed geïnformeerd en compliant te blijven

Het kan een hele uitdaging zijn voor CISO's om te onderhandelen over meerdere kaders en regelgeving.

Voor Frédéric is gelijke tred houden met compliance "een nooit eindigend verhaal" dat veel lezen, internetonderzoek en het gebruik van waardevolle informatiekanalen zoals de Vigitrust Advisory Board vereist.

Daarnaast is het de uitdaging om compliant te blijven. Zoals Frederic het stelt: "Het zijn de dagelijkse taken waarop we ons moeten concentreren om korte tijd later een nieuwe mijlpaal in de naleving te bereiken."