Melihat sekilas standar compliance yang umum digunakan
Berikut dibawah ini daftar ketentuan hukum, mandat, standar dengan informasinya berdasarkan tujuan, lingkup dan penggunanya.
Ketentuan hukum, mandat, standar
PCI DSS, SOX, HIPAA, NERC-CIP, GLBA, FTC Red Flag Rules, ISO17799/27002, CA SB1386,
EU Directives, Canadian PIPEDA
Standar relevan lainnya
FFIEC, FISMA/NIST, CobiT, Euro SOX and J SOX
PCI DSS (Payment Card Industry Data Security Standard) — mandat yang dibuat oleh Visa dan Mastercard, didukung oleh Amex dan lainnya.
| Tujuan |
Lingkup |
Digunakan di |
| mengacu pada penipuan kartu kredit secara individu, bank |
Kerahasiaan dan integritasdari data kartu kredit yang dikirimkan atau disimpan; pertanggungjawaban transaksi |
Perusahaan yang memproses atau menyimpan data kartu kredit |
SOX — Sarbanes-Oxley Act.
| Tujuan |
Lingkup |
Digunakan di |
| Melindungi pemilik saham dari pelaporan SEC yang tidak akurat |
Kerahasiaan dan integritas dari laporan data yang disimpan |
Semua perusahaan terbuka (go public) atau perusahaan yang akan go public |
HIPAA — Health Insurance Portability and Accountability Act.
| Tujuan |
Lingkup |
Digunakan di |
| Melindungi data kesehatan agar tidak dapat diakses oleh orang yang tidak berhak; memastikan ketersediaan informasi dan pertanggungjawaban transaksi |
Kerahasiaan, integritas dan ketersediaan dari informasi kesehatan pribadi (Personal Health Information), melindungi PHI dari akses ilegal, perubahan, penghapusan atau pengiriman. |
Perusahaan yang menyimpan data PHI |
NERC-CIP — North American Electric Reliability Corporation Critical Infrastructure Protection mandate.
| Tujuan |
Lingkup |
Digunakan di |
| Mencegah kekacauan atau kekritisan pengoperasian infrastruktur melalui IT yang lemah |
Ketersediaan dan kelancaran sistem informasi yang mendukung tenaga listrik, air, minyak dan gas |
Semua penyedia listrik, air, minyak dan gas milik US dan Kanada |
GLBA — Gramm Leach Bliley Act.
| Tujuan |
Lingkup |
Digunakan di |
| Melindungi informasi rekening pribadi di bank |
Kerahasiaan informasi pribadi yang disimpan, mengikuti garis pedoman dari FFIEC |
Semua bank, koperasi simpan pinjam, dan universitas |
FTC (Federal Trade Commission) Red Flag Rules.
| Tujuan |
Lingkup |
Digunakan di |
| Melaksanakan program-program pencegahan pencurian identitas yang tertulis |
Kerahasiaan dan integritas, dan pertanggungjawaban transaksi dari informasi pribadi |
Institusi keuangan dan kreditur |
ISO17799/27002 — International Organization for Standardization, information security standard control.
| Tujuan |
Lingkup |
Digunakan di |
| Memastikan 133 standar pengaturan teknis (17799) yang digunakan perusahaan-perusahaan |
Semua sistem informasi, keperluan-keperluan termasuk kerahasiaan, integritas, ketersediaan, keaslian, pertanggungjawaban, pengakuan |
Perusahaan-perusahaan yang ingin menggunakan kontrol standar guna mematuhi hukum dan mandat yang ditentukan |
CA SB1386 — California Senate Bill.
| Tujuan |
Lingkup |
Digunakan di |
| Mencegah penyingkapan informasi pribadi dari orang-orang yang tidak berhak |
Kerahasiaan informasi pribadi; pengumuman pelanggaran |
Semua perusahaan atau organisasi yang menyimpan data pribadi |
EU Directives — European Union Directives on Protection of Personal Data.
| Tujuan |
Lingkup |
Digunakan di |
| Mencegah penyingkapan informasi pribadi dari orang-orang yang tidak berhak dan memastikan kerahasiaan dalam komunikasi dan data pribadi pada jaringan umum. |
Kerahasiaan, integritas dan ketersediaan dari informasi pribadi. |
Semua perusahaan atau organisasi yang memproses data pribadi atau menyediakan layanan komunikasi untuk pengiriman data pribadi. |
Canadian PIPEDA — federal privacy legislation; Personal Information Protection and Electronic Documents Act.
| Tujuan |
Lingkup |
Digunakan di |
| Melindungi informasi pribadi termasuk informasi kesehatan |
Kerahasiaan, integritas dan ketersediaan dari informasi pribadi. |
Semua organisasi atau perusahaan yang memproses data pribadi. |
FFIEC — Federal Financial Institutions Examination Council standard
| Tujuan |
Lingkup |
Digunakan di |
| Melindungi kepentingan umum dari kelalaian bank, menyediakan panduan untuk mengimplementasikan GLBA |
Kerahasiaan, Integritas, Ketersediaan, Pertanggungjawaban dan Jaminan dari sistem keuangan |
Semua bank dan koperasi simpan pinjam |
FISMA/NIST — Federal Information Security Management Act/National Institute of Standards and Technology
| Tujuan |
Lingkup |
Digunakan di |
| Meningkatkan keamanan informasi dari agen-agen federal pemerintah. |
Mengikuti NIST SP800 kontrol standar termasuk autentikasi dan managemen identitas. |
Semua agen federal. |
CobiT — Control Objectives for Information Technology standard framework
| Tujuan |
Lingkup |
Digunakan di |
| Memastikan standar, pengaturan berdasarkan proses bisnis yang digunakan organisasi atau perusahaan; melengkapi ISO |
Semua sistem informasi |
Perusahaan atau organisasi yang ingin mematuhi hukum, terutama SOX, dengan menggunakan pengaturan standar TI (teknologi informasi) |
Euro SOX and J SOX — emerging laws in Europe and Japan
| Tujuan |
Lingkup |
Digunakan di |
| Mirip dengan US SOX |
Mirip dengan US SOX |
Semua perusahaaan perdagangan umum dan semua perusahaan yang berencana untuk go public |
