Relatório livre ESG: gerenciamento de dados sem emenda com Avere FXT
Os bancos que usam o sistema operacional Windows XP terá de enfrentar um risco para a sua conformidade com as normas de segurança de dados de cartões de pagamento, se continuarem a operar o software depois que a Microsoft retira seus serviços de suporte estendido, órgão regulador dos EUA, alertou.
Microsoft confirmou em 2010 que ele iria acabar "suporte estendido" para o Windows XP e Office 2003 em 8 de abril de 2014. O Exame de Instituições Financeiras Conselho Federal (FFIEC) convidou as instituições financeiras e prestadores de serviços de tecnologia (PAT) para "enfrentar o risco do uso continuado do XP" para além dessa data.
O FFIEC é um órgão inter-agência que visa promover práticas harmonizadas pelos reguladores das instituições financeiras norte-americanas, tais como o Conselho de Governadores do Sistema da Reserva Federal, o National Credit Union Administration ea Consumer Financial Protection Bureau, entre outros exemplos.
"A Microsoft vai descontinuar o suporte estendido para Windows XP efetiva 08 de abril de 2014", o FFIEC disse em um comunicado. "Após esta data, a Microsoft não fornecerá mais os patches de segurança regulares, assistência técnica ou suporte para XP. Instituições financeiras, TSP, e outros terceiros que utilizam o XP em computadores pessoais, servidores e dispositivos construídos de propósito, como caixas automáticos (ATM), ou que são dependentes de aplicações que requeiram o uso de PE pode ser exposto a um risco aumentado operacional.
"Os problemas potenciais incluem a degradação na entrega de vários produtos e serviços, as incompatibilidades de aplicação, e maior potencial de roubo de dados e adições não autorizadas, exclusões e alterações de dados. Além disso, as instituições financeiras e tsps que estão sujeitos às exigências do Cartão de Pagamento Industry Data Security Standard (PCI DSS) e continuar a usar o XP depois de 08 de abril de 2014, pode não ser mais compatível ", disse.
PCI DSS é o padrão principal relacionado com os dados do cartão de pagamento armazenar e estabelece 12 requisitos especificando os passos que devem ser tomadas para garantir que os dados de cartão de pagamento é mantida em segurança durante e após as operações. A norma está atualmente em processo de ser atualizado.
Comissário de Informação do Reino Unido já havia dito que os varejistas que não conseguem armazenar dados de pagamento em conformidade com o PCI DSS "ou fornecer proteção equivalente ao processamento de cartão de crédito dos clientes" poderia ser considerada uma violação da Lei de Proteção de Dados e estar sujeitos a multas .
"Os requisitos do PCI DSS são aplicadas por meio de contratos e exigir que os bancos, varejistas e empresas de processamento de pagamentos para desenvolver e manter sistemas seguros e 'remendo' problemas de segurança que surgem especialmente na virada pública aplicativos on-line," tecnologia e pagamentos especialista em direito de Angus McFadyen Pinsent Masons, escritório de advocacia atrás Out-Law.com, disse.
"Se as empresas que usam XP não tiver feito isso, eles devem agora estar segurando discussões internas sobre os prós e contras de atualizar o sistema operacional eles usam longe do XP", disse ele. "A atualização não é a única opção, no entanto.
"As empresas serão capazes de continuar a usar o XP após a Microsoft retirar sua suporte estendido se os riscos associados que podem ser gerenciados. Eles não serão mais capazes de confiar na sinalização se as vulnerabilidades de segurança da Microsoft e corrigir esses problemas para eles, apesar de tudo."
Por que a lentidão?
McFadyen, disse que as empresas muitas vezes são compreensivelmente relutante em se afastar do uso de sistemas legados de TI devido ao custo e tempo envolvidos em se submeter a tal um projeto de transformação. Confiabilidade do sistema, a continuidade dos negócios eo fato de que a maioria das vulnerabilidades de segurança para a tecnologia já pode ter sido lavado e resolvidos, estão entre as outras razões pelas quais as empresas podem ficar com o legado de sistemas de TI, mesmo quando mais recentes sistemas suportados estão disponíveis, acrescentou.
As empresas que optarem por continuar a usar o Windows XP depois de 08 de abril de 2014 terão de monitorar e resolver ameaças de segurança específicas para o XP internamente ou contratar com a Microsoft ou um provedor de terceirização licenciada para a prestação desses serviços numa base ad hoc, se eles querem gerenciar novo ou existente vulnerabilidades e estejam em conformidade com o regime do PCI DSS para aplicações específicas, McFadyen disse.
No entanto, McFadyen disse que as empresas que experimentam um incidente que resulta em dados de cartão de pagamento que está sendo comprometido pode reduzir as obrigações regulamentares e contratuais que podem enfrentar se eles podem mostrar que o incidente ocorreu apesar deles terem cumprido com o quadro PCI DSS.
Em abril Reino Unido empresa de consultoria camwood disse que era "preocupante" que a 40 por cento dos entrevistados para uma pesquisa que encomendou disse que suas empresas tinham ", mas antes mesmo de começar a migração off XP" e disse que era "ainda mais chocante" que 20 por cento dos inquiridos não estavam planejando fazê-lo em tudo.
"A gerência sênior nessas organizações que ainda têm de começar a migração pode não entender completamente ou apreciar o nível a que os ambientes sem suporte e sem correção são vulneráveis a riscos de segurança", camwood disse na época.
Out-Law.com faz parte do escritório de advocacia Pinsent Masons internacionais.
Nenhum comentário:
Postar um comentário