Indische Zentralbank – Richtlinien zum Outsourcing von IT-Dienstleistungen 2023
Indische regulierte Unternehmen (REs) haben die Informationstechnologie (IT) und IT-gestützte Dienstleistungen (ITeS) in großem Umfang genutzt, um ihre Geschäftsmodelle, Produkte und Dienstleistungen für ihre Kunden zu unterstützen. Außerdem lagern die REs einen erheblichen Teil ihrer IT-Aktivitäten an Dritte aus, wodurch sie verschiedenen Risiken ausgesetzt sind.
Um eine wirksame Verwaltung der damit verbundenen Risiken zu gewährleisten, hat die indische Zentralbank (Reserve Bank of India, RBI) am 10. April 2023 die Richtlinien zum Outsourcing von IT-Dienstleistungen (Outsourcing of Information Technology Services Directions, 2023) verabschiedet, die am 1. Oktober 2023 in Kraft treten sollen.
Als eines der führenden Unternehmen im Bereich der Datensicherheit ermöglicht Thales den REs, die die Kontrollvorgaben der Richtlinien bezüglich der Nutzung von Cloud-Computing-Diensten einzuhalten.
Überblick über die Verordnung
Die RBI-Richtlinien zum Outsourcing von IT-Dienstleistungen haben 9 Kontrollschwerpunkte mit Anhängen über die Nutzung von Cloud-Computing-Diensten, das Outsourcing von Security-Operations-Zentren und Dienstleistungen, die nicht unter das Outsourcing von IT-Dienstleistungen fallen, vorgeschrieben.
Für welche Unternehmen gelten die Richtlinien?
- Schedule Commercial Bank, einschließlich ausländischer Banken mit Sitz in Indien, lokaler Banken, Kleinkreditbanken und Zahlungsverkehrsbanken, jedoch ohne regionale ländliche Banken;
- Primäre (städtische) Genossenschaftsbanken ohne städtische Genossenschaftsbanken der Kategorien 1 und 2;
- Kreditauskunftsunternehmen (CICs);
- Finanzinstitute außerhalb des Bankensektors („NBFCs“); und
- Alle indischen Finanzinstitute (EXIM Bank, NABARD, NaBFID, NHB und SIDBI).
Wann werden die Richtlinien in Kraft treten?
Die RBI hat den REs eine Frist von bis zu zwölf Monaten ab dem Datum des Erlasses der Richtlinien eingeräumt, um ihre Outsourcing-Vereinbarungen zu überprüfen und die in den Richtlinien enthaltenen Anforderungen zu erfüllen, wenn diese vor dem 01. Oktober 2023 erneuert werden müssen, und 36 Monate ab dem Datum des Erlasses der Richtlinien, wenn ihre Vereinbarungen nach dem 01. Oktober 2023 erneuert werde müssen.
Definitionen
- Wesentliches Outsourcing von IT-Dienstleistungen
Der Begriff „wesentliches Outsourcing von IT-Dienstleistungen“ bezeichnet jede Dienstleistung, die „bei einer Unterbrechung oder Beeinträchtigung das Potenzial hat, den Geschäftsbetrieb des RE erheblich zu beeinträchtigen“; oder „im Falle eines unbefugten Zugriffs, Verlusts oder Diebstahls von Kundendaten wesentliche Auswirkungen auf die Kunden des RE haben kann“. - Das Outsourcing von IT-Dienstleistungen umfasst das Outsourcing der folgenden Tätigkeiten:
- Verwaltung, Wartung und Unterstützung der IT-Infrastruktur (Hardware, Software oder Firmware);
- Netz- und Sicherheitslösungen, Wartung (Hardware, Software oder Firmware);
- Anwendungsentwicklung, -wartung und -prüfung; Anbieter von Anwendungsdiensten (ASPs) einschließlich ASPs für ATM-Switches;
- Dienstleistungen und Tätigkeiten im Zusammenhang mit Datenzentren;
- Cloud-Computing-Dienste; und
- Verwaltung der IT-Infrastruktur und der technologischen Dienstleistungen im Zusammenhang mit dem Ökosystem der Zahlungssysteme.
Die übrigen Dienstleistungen, die nicht als Outsourcing von IT-Dienstleistungen gelten oder in Anhang III aufgeführt sind, gelten als Outsourcing von Finanzdienstleistungen und fallen nicht unter diese IT-Outsourcing-Richtlinien.
ICS-Compliance
Thales unterstützt REs bei der Einhaltung der Richtlinien zum Outsourcing von IT-Dienstleistungen 2023, indem es zwei der Kontrollen und die Anforderung für die Nutzung von Cloud-Computing-Diensten erfüllt.
Die Richtlinien | Lösungen von Thales |
|---|---|
Kapitel – VI: Risikomanagement | 17. Rahmen für das Risikomanagement | |
(e) „… Die REs gewährleisten die Wahrung und den Schutz der Sicherheit und der Vertraulichkeit von Kundendaten, die sich in der Obhut oder im Besitz des Dienstanbieters befinden …“ (f) „das RE bleibt verantwortlich für das Verständnis und die Überwachung des Kontrollumfelds aller Dienstleister, die Zugriff auf Daten, Systeme, Aufzeichnungen oder Ressourcen des RE haben …“ | Die CipherTrust Data Security Platform ist eine integrierte Suite von datenzentrierten Sicherheitsprodukten und -lösungen, die Datenerkennung, -schutz und -kontrolle in einer einzigen Plattform vereinen. Die CipherTrust Platform bietet mehrere Funktionen zum Schutz von Data-at-Rest in Dateien, Volumes und Datenbanken. Dazu gehören:
Data Security Fabric bietet eine einheitliche Sicht auf Daten über verschiedene Plattformen hinweg und ermöglicht Audits für relationale, NoSQL-, Mainframe-, Big-Data- und Data-Warehouse-Umgebungen. |
(i) „… die Kontrollprozesse und Sicherheitspraktiken des Dienstleisters zu überprüfen und zu überwachen, um Sicherheitsverletzungen aufzudecken …“ | CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) erkennt abnormale E/A-Aktivitäten, warnt oder blockiert bösartige Aktivitäten und verhindert, dass Ransomware die Kontrolle über Endpunkte und Server erlangt. Imperva Data Security Fabric Threat Detection überwacht den Datenzugriff und die Datenaktivität und bietet Transparenz, um riskanten Datenzugriff für alle Benutzer, einschließlich privilegierter Benutzer, zu identifizieren. Diese Lösung bietet Echtzeitwarnungen, die Blockierung von Richtlinienverstößen und eine kostengünstige Datenspeicherung für Audits. |
Kapitel - X: Löschungsstrategie | |
b) „… sichere Entfernung/Vernichtung von Daten, Hardware und allen Aufzeichnungen (digital und physisch), soweit zutreffend …“ | CipherTrust Enterprise Key Management rationalisiert und stärkt die Schlüsselverwaltung in Cloud- und Unternehmensumgebungen und ermöglicht es REs, von CSPs verwaltete verschlüsselte Daten effektiv zu löschen. |
Anhang – I | Nutzung von Cloud-Computing-Diensten | |
3. „… Die Sicherheit der Cloud liegt in der gemeinsamen Verantwortung der RE und des Cloud-Dienstanbieters (CSP). REs können sich auf einige der bewährten Praktiken für Cloud-Sicherheit beziehen, um die notwendigen Kontrollen zu implementieren …“ | Mit Thales CipherTrust Cloud Key Management (CCKM) können REs die Kontrolle über ihre Cloud-Sicherheit übernehmen und ihre Transparenz verbessern. CCKM bietet eine einheitliche Konsole für Cloud-native Benutzer und gewährleistet den Schutz von Zeit und Daten. Es unterstützt Bring-Your-Own-Key-Anwendungsfälle (BYOK) über mehrere Cloud-Infrastrukturen und SaaS-Anwendungen hinweg. Hold Your Own Key (HYOK) verbessert die Kontrolle der REs über die kryptographischen Schlüssel und ermöglicht eine klare Aufgabentrennung sowie eine eindeutige Abgrenzung der Zuständigkeiten für Cloud-Dienste mit dem CSP. |
6. Verwaltung von Cloud-Diensten und Sicherheitsüberlegungen a. Service- und Technologiearchitektur
| Thales bietet integrierte Verschlüsselungs- und Schlüsselverwaltungslösungen zum Schutz Cloud-basierter Anwendungen für REs mit BYOE und BYOK.
|
| Thales Luna Hardware-Sicherheitsmodule (HSM) bieten Unternehmen dedizierte Hardware für die Kontrolle kryptographischer Schlüssel, die eine manipulationssichere Umgebung für sichere kryptographische Verarbeitung, Schlüsselgenerierung und Verschlüsselung bietet. |
| CipherTrust Transparent Encryption Container Security bietet Funktionen zur Verschlüsselung, Zugriffskontrolle und Protokollierung des Datenzugriffs innerhalb des Containers, sodass Unternehmen starke Sicherheitsvorkehrungen für Daten in dynamischen Container-Umgebungen einrichten können. |
| CipherTrust Enterprise Key Management ist eine hochverfügbare Appliance, die die Verwaltung von kryptographischen Schlüsseln für das Thales Data Security Portfolio und Verschlüsselungslösungen von Drittanbietern zentralisiert. Es verwaltet Aufgaben im Lebenszyklus von Schlüsseln, Zertifikaten und Secrets und bietet Multi-Mandanten-Domains für zusätzliche Sicherheit. |
b. Identitäts- und Zugriffsverwaltung (IAM) | Die Identitäts- und Zugriffsverwaltungslösungen von Thales OneWelcome beschränken den Zugriff interner und externer Benutzer auf der Grundlage ihrer Rollen und ihres Kontexts.
|
Weitere Ressourcen
Weitere wichtige Datenschutz- und Sicherheitsverordnungen
PCI HSM
MANDAT | JETZT AKTIV
Die PCI-HSM-Spezifikation definiert eine Reihe von logischen und physischen Sicherheitsstandards für HSMs speziell für die Zahlungsindustrie. Die PCI-HSM-Konformitätszertifizierung setzt die Einhaltung dieser Standards voraus.
DORA
VERORDNUNG | JETZT AKTIV
DORA hat zum Ziel, die IT-Sicherheit von Finanzinstituten zu stärken, um sicherzustellen, dass der Finanzsektor in Europa angesichts des zunehmenden Umfangs und der Schwere von Cyber-Angriffen widerstandsfähig ist.
Gesetze zur Meldepflicht von Datenschutzverletzungen
VERORDNUNG | JETZT AKTIV
Weltweit haben Länder Verordnungen zur Meldung von Datenschutzverletzungen nach dem Verlust personenbezogener Daten erlassen. Diese Verordnungen variieren von Land zu Land, enthalten aber fast immer eine „Safe Harbor“-Klausel.
GLBA
VERORDNUNG | JETZT AKTIV
Der Gramm-Leach-Bliley Act (GLBA) – auch bekannt als Financial Services Modernization Act von 1999 – verpflichtet Finanzinstitute, ihren Kunden ihre Vorgehensweise in Bezug auf die Weitergabe von Daten zu erklären und sensible Daten zu schützen.