Compliance Part (2)

ဒီအပိုင်းမှာတော့ Compliance တစ်ခုကို Implement လုပ်တော့မယ်ဆိုရင် ကြုံတွေ့နိုင်တဲ့ Challenges တွေ ၊ Complianceကြာင့်ရမဲ့ Benefits တွေနဲ့ Compliance Audit fail သွားခဲ့ရင်ကြုံ တွေရမဲ့ Penalty တွေကို ဆွေးနွေး သွားမှာပဲ ဖြစ်ပါတယ်။
‍‍‍‍‍‍
Compliance ရဲ့ အဓိပ္ပါယ်ကို ကို နားမလည် သေးသူ စာဖတ်သူတွေအနေနဲ့ What is Compliance? ဆိုတဲ့ ပထမပိုင်းကို အရင် ဖတ်စေချင်ပါတယ်။‍‍‍‍‍‍
‍‍‍‍‍‍
ကဲ Compliance ဒုတိယတစ်ပိုင်းကို စလိုက်ရအောင်။အခုအပိုင်းမှာတော့ ဘဏ်လုပ် ငန်းနဲ့ သက်ဆိုင်တဲ့ PCIDSS Complianceအကြောင်းကို ဥပမာအနေနဲ့ ရှင်းပြသွားမှာပါ။ Visa Card , Master Card စသဖြင့် Payment Card Service ပေးနေတဲ့ ဘဏ် လုပ်ငန်းတွေပာ Cardholder တွေရဲ့ Account Data တွေကို ကာကွယ်ပေးနိုင်ဖို့ PCIDSS Compliance ကို လိုက်နာဖို့လိုအပ်ပါတယ်။ PCIDSS Compliance ကို အကောင်အထည် ဖော်တော့မယ်ဆိုရင် မိမိ Organization အနေနဲ့ ဘယ်လိုမျိုး Challenges တွေ ရင်ဆိုင်ရမလဲဆိုတာ သိထားသင့်ပါတယ်။‍‍‍‍‍‍
‍‍‍‍‍‍
PCIDSS Compliance မှာ Cyber Security အရလုပ်ဆောင်ရမဲ့ လိုအပ်ချက် ၁၂ ချက် ရှိပါတယ်။ ဒီ ၁၂ ချက်ကို အသေးစိတ် ပြန်ခွဲထုတ်ရင် အချက်ပေါင်း ၂၀၀ ကျော်ရှိပါတယ်။ Task Item ပေါင်း ၂၀၀ လုံးကို Implement လုပ်ဖို့တာ မလွယ်ကူပါဘူး။
‍‍‍‍‍‍
➡ Challenge 1
Security Products ( IDS, Vulnerability Scanning Tool, Firewall Rule Tuning Technology နဲ့ SIEM Products) တွေဝယ်ဖို့ Organization အနေနဲ့ Dollars ပေါင်း များစွာ ရင်း နှီးမြှုပ် နှံ ဖို့လိုအပ်ပါတယ်။
‍‍‍‍‍‍
➡ Challenge 2
PCIDSS Compliance ကို အကောင်အထည်ဖော်ရာမှာ Guideline ပေးနိုင်မဲ့ ကျွမ်းကျင်တဲ့ Security Technicians တွေ Security Consultants တွေလိုအပ်ပါတယ်။ ဒါ့ကြောင့်လဲ PCI-DSS Compliance ပာ အကောင်အထည် ဖော်ဖို့ ခက်ခဲတယ်လို့ ပြောကြတာပါ။
‍‍‍‍‍‍
➡ Benefits of Compliance
‍‍‍‍‍‍PCI-DSSS Compliance Certified ဖြစ်တဲ့ Organization တွေအနေနဲ့ ဘယ်လိုအကျိုးတွေရနိုင် မလဲ ဆိုရင် ပထမဆုံး မိမိ Organization ရဲ့ Reputation ပာ ပြည်တွင်း Customer တွေသာမကနိုင်ငံ တကာ Companies တွေဆီကပါ Security ပိုင်းဆိုင်ရာ အတိုင်းအတာတစ်ခုထိ Strong ဖြစ်တယ်လို့ အသိအမှတ် ပြုခံရမှာပါ။ Organizationနဲ့ လက်တွဲ လုပ်ဆောင်မဲ့ တခြား ပြည်တွင်းပြည်ပ လုပ်ငန်းတွေရဲ့ယုံကြည်မှု ရလာတာနဲ့အမျှ ကိုယ့် Organization ရဲ့ Profit ကလဲ တရှိန် ထိုး တိုးတက်လာနိုင်ပါတယ်။ ဒါ့အပြင် Security Item ၂၀၀ ပါတဲ့ Compliance တစ်ခုလုံးကို Implement လုပ်ပြီးတဲ့ အတွက် မိမိ Organization ကို Strong ဖြစ်စေတဲ့ Security Program တစ်ခုကိုတည်ဆောက် ပြီးသားပါ ဖြစ်သွားတဲ့ အကျိုး ကျေးဇူး တွေရနိုင်ပါတယ်။
‍‍‍‍‍‍
➡ Penalties of Compliance‍‍‍‍‍‍
PCI-DSSS Compliance ကိုလိုက်နာလို့ ရှေ့ ကအကျိုးကျေးဇူးတွေ ရနိုင်တယ်ဆိုရင် အပြည့်အဝမလိုက်နာခဲ့ရင်ရော ဘယ်လို Penalty တွေရှိ နိုင်မလဲ လေ့လာကြည့် ရအောင်။ ဥပမာ ဘဏ် လုပ် ငန်းတစ်ခု PCI-DSSS Compliance ကိုအပြည့်အဝ မလိုက်နာပဲ Gaps တွေ ဖြစ်ပြီး Fail သွားတယ်ဆိုပါစို့။ ဒီ Failure ကြောင့် ဘဏ်ရဲ့ Infra ထဲ က Payment Card ဒေတာတွေပါ အချိန်မရွေးဆုံးရှုံး သွားနိုင်ပါတယ်။ Organization ဘက်က Compliance Gaps တွေကို အချိန် မှီပြီးစီးအောင် မလုပ်နိုင်ဘူးဆိုရင် Penalty အနေနဲ့ Charges တွေ ပေးဆောင်ရမှာပါ။ အဆိုးဆုံး အနေနဲ့ Visa, Master Card တွေကို ဆက်လက် လုပ်ကိုင်ဖို့ ပိတ်ပင်ခံရတဲ့ အခြေအနေ ထိေ ရာက် နိုင်ပါတယ်။ တခြား Compliance တွေမှာလဲ PCI-DSS နည်းတူ လိုက်နာလို့ အကျိုးကျေးဇူးတွေရနိုင်သလို Fail ဖြစ်ခဲ့ရင် ပေးဆောင်ရမဲ့ Fines တွေရှိပါတယ်။ Fines တွေရဲ့ ပမာဏကလဲ Compliance တစ်ခုနဲ့ တစ်ခုမတူပါဘူး။‍‍‍‍‍‍
‍‍‍‍‍‍
➡ ဒီဆောင်းပါးကို အဆုံးထိ ဖတ်ပြီးပြီ ဆိုရင် စာဖတ်သူတို့အနေနဲ့ Compliance ရဲ့ သဘောတရားကို အနည်းငယ် နားလည်နိုင်ကြမယ် ထင်ပါတယ်။ မိမိ Organization နဲ့ ကိုက်ညီမဲ့ Compliance ကို Validate လုပ်ခြင်းဖြင့် Business to Business အချင်းချင်းက ဖြစ်စေ၊ Organization ရဲ့ Customer တယောက်ချင်းဆီကဖြစ်စေ မိမိ Organization ပာ Security ပိုင်းအရ Strong ဖြစ်တယ်ဆိုတာကို ယုံကြည်လက်ခံလာမှာပဲ ဖြစ်ပါတယ်။
‍‍‍‍‍‍
NEX4 အနေနဲ့ PCIDSS Compliances အပိုင်းကို Consulting လုပ်ရာတွင် ကျွမ်းကျင် နည်းပညာရှင်တွေနဲ့ လုပ်ဆောင်ပေးလျက်ရှိပါတယ်။ ထို့အပြင် Users တွေ Admins တွေအတွက် awareness ရှိပြီး ပိုမိုလွယ်ကူအောင် Trainings တွေကိုလဲ NEX4 ဘက်မှ ဆောင်ရွက်ပေးနေပါတယ်။

Don’t forget to share this post!