Einhaltung des Framework for Adoption of Cloud Services in Indien
Grundlegende Standards für Sicherheit und die Einhaltung von Vorschriften für regulierte Unternehmen in Indien
Die Securities and Exchange Board of India (SEBI) hat dasFramework für die "Adoption of Cloud Services by SEBI Regulated Entities (RE)" in ihrem Rundschreiben Nr. SEBI/HO/ITD/ITD_VAPT/P/CIR/2023/033 vom 6. März 2023, das grundlegende Standards für die Sicherheit und die Einhaltung von Vorschriften festlegt, eingeführt. Dieses Rahmenwerk ist eine wichtige Ergänzung zu den bestehenden SEBI-Leitlinien zum Cloud Computing und soll den regulierten Unternehmen helfen, sichere und konforme Praktiken für die Einführung der Cloud zu implementieren.
Der Hauptzweck dieses Rahmenwerks besteht darin, die Hauptrisiken und die obligatorischen Kontrollmaßnahmen aufzuzeigen, die regulierte Unternehmen vor der Einführung von Cloud Computing einführen müssen. Der Rahmen legt auch die regulatorischen und rechtlichen Anforderungen fest, die regulierte Unternehmen erfüllen müssen, wenn sie solche Lösungen einsetzen.
Thales bietet integrierte Lösungen, die es Ihrem Unternehmen ermöglichen, das Framework for the Adoption of Cloud Services umzusetzen, wobei der Schwerpunkt auf den Grundsätzen der Sicherheitskontrolle und der Risikokonzentration liegt.
Überblick über die Bestimmungen
Das Rundschreiben für den Framework for the Adoption of Cloud Services legt die besonderen Risiken von öffentlichen Cloud-Diensten dar, um den regulierten Unternehmen bei der Entwicklung ihrer Risikomanagementstrategie zu helfen. Außerdem werden einige bewährte Verfahren zur Eindämmung von Cloud-spezifischen Bedrohungen genannt. Wenn die regulierten Unternehmen es versäumen, geeignete Sicherheitsmaßnahmen zu ergreifen, wie im Rundschreiben empfohlen, könnten die Daten, die sie in der Cloud speichern, dem Risiko ausgesetzt sein, von böswilligen Akteuren kompromittiert zu werden; daraus resultierende Sicherheitsvorfälle könnten wiederum die Fähigkeit der regulierten Unternehmen beeinträchtigen, ihren Betrieb aufrechtzuerhalten und ihren gesetzlichen Verpflichtungen nachzukommen.
Das Rahmenwerk ist prinzipienbasiert und umfasst neun Schlüsselaspekte, die die folgenden Themen abdecken:
Das Framework for the Adoption of Cloud Services by SEBI Regulated Entities wurde am 6. März 2023 eingeführt. Das Rahmenwerk ist eine Ergänzung zu den bereits bestehenden SEBI-Rundschreiben/Richtlinien/Empfehlungen und tritt sofort für alle neuen oder geplanten Cloud-Onboarding-Aufträge/Projekte der regulierten Unternehmen in Kraft. Regulierte Unternehmen, die derzeit Cloud-Dienste in Anspruch nehmen, sollten sicherstellen, dass alle derartigen Vereinbarungen gegebenenfalls überarbeitet werden und innerhalb von 12 Monaten mit dem Rahmenwerk in Einklang stehen.
Thales bietet integrierte Lösungen, die es Ihrem Unternehmen ermöglichen, das Framework for the Adoption of Cloud Services umzusetzen, wobei der Schwerpunkt auf den Grundsätzen der Sicherheitskontrolle und der Risikokonzentration liegt.
Schutz von Data-at-Rest
Thales bietet mehrere Lösungen für Data-at-Rest an, die mit der nativen Verschlüsselung des Cloud Service Providers (CSP) koexistieren können.
Schutz von Data-in-Motion
Die Lösungen von Thales für High Speed Network Encryption (HSE)sichern Data-in-Motion auf dem Weg durch das Netzwerk zwischen Rechenzentren und Hauptsitz, Zweigstellen und Niederlassungen, zu Backup- und Disaster Recovery-Standorten, on-premises und in der Cloud.
CipherTrust Transparent Encryption verschlüsselt Dateien, nicht jedoch die Metadaten. So können CSP ihre Systemverwaltungsaufgaben erledigen, ohne dass sie Zugriff auf die sensiblen Daten haben, die auf den Systemen gespeichert sind, die sie verwalten.
Einführung von Bring Your Own Encryption (BYOE) und Bring Your Own Key (BYOK)
CipherTrust Cloud Key Manager unterstützt „Bring Your Own Key (BYOK)“ und „Hold Your Own Key (HYOK)“-Anwendungsfälle über mehrere Cloud-Infrastrukturen und SaaS-Anwendungen in einer einzigen Schnittstelle. Er ermöglicht die Prüfung von Schlüsseln, die Generierung starker Schlüssel und eine durchgängige Verwaltung des Lebenszyklus von Schlüsseln zusammen mit automatischer Schlüsselrotation, Wiederherstellung und Schlüsselwiderrufsfunktion, die im Key Management System (KMS) von Cloud-Anbietern nicht verfügbar sind.
Bring Your Own Key (BYOK) und Hold Your Own Key (HYOK) bieten eine stärkere Trennung der Pflichten für die kryptographischen Schlüssel, sodass die regulierten Unternehmen die Kontrolle über ihre Schlüssel behalten können, anstatt sie dem CSP anzuvertrauen.
CipherTrust Transparent Encryption bietet transparente Verschlüsselung und Zugriffskontrolle für Daten, die sich in Amazon S3, Azure Files uvm. befinden. Sie bietet fortschrittliche Bring-Your-Own-Encryption-Lösungen (BYOE) für mehrere Clouds an, damit Unternehmen nicht von der Verschlüsselung des Cloud-Anbieters abhängig sind und die notwendige Datenmobilität gewährleistet ist, um Daten bei unterschiedlichen Cloud-Anbietern mit einer zentralen, unabhängigen Schlüsselverwaltung effizient zu sichern.
Schutz kryptographischer Schlüssel
Thales-Luna-Hardware-Sicherheitsmodule (HSM) ermöglichen es Unternehmen, über dedizierte Hardware zu verfügen, um ein höheres Maß an Kontrolle und Eigentum an den kryptographischen Schlüsseln zu erhalten, als dies beim Cloud Service Provider (CSP) der Fall ist.
CSP-agnostische Lösungen
Der CipherTrust Cloud Key Manager kombiniert die Unterstützung für BYOK-Dienste von Cloud-Anbietern mit einer Schlüsselverwaltung, die Cloud-Kunden eine starke Kontrolle über die Lebenszyklen der kryptographischen Schlüssel für Daten bietet, die von einem Anbieter von Cloud-Diensten verschlüsselt wurden.
Thales CipherTrust Transparent Encryption (CTE) und CipherTrust Tokenization bieten fortschrittliche Multi-Cloud-Lösungen für Bring Your Own Encryption (BYOE) an, um die Abhängigkeit von Cloud-Anbietern zu vermeiden und die Datenmobilität zu gewährleisten, um Daten über mehrere Cloud-Anbieter hinweg mit einer zentralisierten und unabhängigen Schlüsselverwaltung effizient zu sichern.
This framework is a crucial addition to SEBI’s existing guidelines on cloud computing and is designed to help REs implement secure and compliant cloud adoption practices in India.
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
This paper describes security best practices for protecting sensitive data in the public cloud, and explains concepts such as BYOK, HYOK, Bring Your Own Encryption (BYOE), key brokering and Root of Trust (RoT). It explains the level of data protection that can be achieved by...
Die DSGVO ist vielleicht die bisher umfassendste Datenschutznorm und betrifft jede Organsation, die personenbezogene Daten von EU-Bürgern verarbeitet - unabhängig davon, wo die Organisation ihren Sitz hat.
Jede Organisation, die eine Rolle bei der Verarbeitung von Kredit- und Debitkartenzahlungen spielt, muss die strengen PCI-DSS-Anforderungen für die Verarbeitung, Speicherung und Übermittlung von Konteninformationen erfüllen.
Vorschriften zur Benachrichtigung bei Datenschutzverletzungen nach dem Verlust personenbezogener Daten wurden von Ländern rund um den Globus erlassen. Sie variieren je nach Gerichtsbarkeit, enthalten aber fast immer eine "Safe-Harbour"-Klausel.