Compliance / Wdrażanie norm



Motywacje organizacji do działania zgodnie z określonymi normami są różne. Mogą wynikać z nacisków klientów, centrali, z chęci wyróżnienia się na rynku, czy też być bezpośrednią konsekwencją stylu zarządzania.


Jest to regulacja stworzona przez wydawców kart płatniczych. Jej zadaniem jest zapewnienie bezpieczeństwa klientom, którzy używają w sklepach swoich kart debetowych i kredytowych.

W Stanach Zjednoczonych i Europie Zachodniej za nieprzestrzeganie przepisów PCI Council nakłada wielomilionowe kary. W Polsce norma jest względnie nowa i PCI Council jak na razie kładzie główny nacisk na edukację, nie na ostre egzekwowanie. Częścią planu jest zmierzenie stanu faktycznego, czyli Gap Analysis - do czego zapraszamy wszystkie organizacje, które operują danymi płatników. Jesteśmy jednym z niewielu polskich audytorów i wydawców certyfikatu PCI DSS. Nasi konsultanci posiadają uprawnienia QSA i ASV.


Jedna z najbardziej znanych i najlepiej rozpoznawanych norm w IT, standaryzująca systemy zarządzania bezpieczeństwem informacji.

Dąży do zapewnienia organizacji dokumentów i procedur, które maksymalnie od strony formalnej wspierają bezpieczeństwo firmy. Zapisy normy są bardzo szerokie i jej wprowadzenie często wymaga wzmożonej pracy osób z wielu działów. Nieodpowiednio prowadzony proces wprowadzania normy zazwyczaj kończy się stratą czasu, pieniędzy i frustracją kluczowych pracowników. Wspieramy odpowiednią organizację wdrożenia, pomagamy się zorganizować, wskazujemy obszary niezbędne do zmiany i rekomendacje kierunku zmian. Jesteśmy w stanie zaopiekować się całym procesem, do etapu Audytu 0 włączenie. Nie jesteśmy audytorem normy (w tej kwestii współpracujemy z firmą będącą liderem wśród wydawców certyfikatów).


Regulacje ustawowe, na co dzień egzekwowane przez Generalnego Inspektora Ochrony Danych Osobowych, nie podlegają dyskusjom i dowolności.

Nieprzestrzeganie przepisów może skończyć się konsekwencjami finansowymi - w przypadku kontroli lub, co gorsza, utraty danych osobowych. Dlatego nasi konsultanci wspierają przestrzeganie przepisów dwutorowo:

  1. Weryfikujemy dokumentację i procedury, aby zapewnić ich zgodność z najnowszą wersją regulacji (co jest niezbędne w przypadku kontroli).
  2. Weryfikujemy, czy stan faktyczny odzwierciedla zapisy w dokumentach (minimalizowanie ryzyka utraty danych).

Dla organizacji, które powołały osoby na funkcję Administratora Bezpieczeństwa Informacji, szczególne znaczenie ma punkt 2 z wyżej wymienionych. ABI są zazwyczaj wyśmienitymi administratorami z dużą wiedzą prawniczą i formalną. Natomiast ich praca i odpowiedzialność w dzisiejszych czasach wymagają kontrolowania także kwestii ściśle technicznych, zarządzanych przez Dyrektorów IT.