Beth Yw Rôl CISO Wrth Gydymffurfio?

Trafodaeth gyda Frédéric Jesupret, Swyddog Diogelwch Gwybodaeth Grŵp yn Allianz Partners

Ers i Gyngor Diogelwch Safonau PCI ryddhau fersiwn 4.0 o PCI DSS ar Fawrth 31ain, mae wedi dod yn ganolbwynt dadl yn y diwydiant taliadau a chydymffurfiaeth byd-eang.

Wrth i reoliadau preifatrwydd newydd gael eu creu a'u diweddaru, mae trafodaethau am reoli preifatrwydd yn cynyddu ledled y byd.

Siaradais yn ddiweddar â Frédéric Jesupret, Swyddog Diogelwch Gwybodaeth Grŵp yn Allianz Partners, is-gwmni gwasanaethau cymorth ac yswiriant byd-eang Grŵp Allianz, am y newidiadau mewn cydymffurfiaeth â PCI DSSv.4.0, elfennau allweddol wrth reoli rheoliadau rhyngwladol, hyfforddiant a heriau cydymffurfio.

Esblygiad PCI DSS v4.0 – beth sy'n newydd?

Ymddangosodd PCI DSS v4.0 eleni gyda'r cynnig i fynd â chydymffurfiaeth i lefel newydd a chynyddu diogelwch yn y diwydiant taliadau. Fodd bynnag, rhaid i gwmnïau baratoi i ymgorffori'r safon newydd yn eu cwmpas.

Mae'r safon newydd yn caniatáu i gwmnïau ddefnyddio gwahanol ffyrdd i fodloni gofynion diogelwch.

Yn ôl Frédéric, yr her yw y bydd angen i gwmnïau addasu i'r safon newydd a'r gofynion ar gyfer eu systemau. Fodd bynnag, ychwanega y bydd PCI DSS v.4.0 yn gam pwysig i gwmnïau oherwydd “bydd y safon newydd yn ein helpu i wella ein cydymffurfiaeth a hefyd yn ein paratoi ar gyfer cydymffurfio â safonau posibl eraill yn y dyfodol.”

Rheoli fframweithiau lluosog a rheoliadau rhyngwladol

Mae'n ofynnol i gwmnïau byd-eang ddilyn rheoliadau preifatrwydd a diogelu data lleol a rhyngwladol. Mae hyn yn arwain at broses reoli gymhleth, yn enwedig ar adeg pan fo rheoliadau diogelu data cenedlaethol yn dod yn fwyfwy llym.

Mewn perthynas â hyn, mae Frédéric yn cynghori:

• Cydymffurfio â safonau cwmni fel ISO27001.
• Paratoi templedi i helpu endidau lleol i gydymffurfio.
• Mabwysiadu ymagwedd safonol at ddiogelwch TG a risg TG i gynhyrchu adroddiadau safonol.
• Mabwysiadu'r un dull o reoli pob elfen.

Cyngor allweddol i gadw addysg a chydymffurfio

Gall fod yn dipyn o her i CISOs drafod fframweithiau a rheoliadau lluosog.

I Frédéric mae cadw i fyny â chydymffurfiaeth yn “stori ddiddiwedd” sy'n gofyn am lawer o ddarllen, ymchwil rhyngrwyd, a defnyddio sianeli gwybodaeth gwerthfawr fel Bwrdd Cynghori Vigitrust.

Ochr yn ochr â hyn mae'r her o barhau i gydymffurfio. Fel y dywed Frederic, “dyma’r tasgau o ddydd i ddydd y mae’n rhaid inni ganolbwyntio arnynt er mwyn cyrraedd carreg filltir gydymffurfio arall ychydig yn ddiweddarach.”