Einhaltung des Gramm-Leach-Bliley Act (GLBA)

Vorgaben

Abschnitt 501(b) des Gramm-Leach-Bliley Act verlangt, dass Finanzinstitute „administrative, technische und physische Schutzmaßnahmen“ ergreifen, um die Sicherheit, Vertraulichkeit und Integrität nicht-öffentlicher Kundendaten zu gewährleisten. Darüber hinaus schreibt der Gramm-Leach-Bliley Act vor, dass alle Finanzinstitute ein umfangreiches Informationssicherheitsprogramm schriftlich festlegen, das administrative, technische und physische Schutzvorkehrungen vorsieht, die der Größe, Komplexität und dem Ausmaß der Aktivitäten des betreffenden Instituts entsprechen. Dazu gehören:

• Gewährleistung der Sicherheit und Vertraulichkeit von Kundenaufzeichnungen und -daten
• der Schutz vor zu erwartenden Bedrohungen oder Gefahren für die Sicherheit oder Integrität der entsprechenden Daten
• der Schutz vor unbefugtem Zugriff auf diese Daten, deren unberechtigte Nutzung oder die Nutzung von Informationen, die dazu führen kann, dass Kunden erheblichen Schaden oder Unannehmlichkeiten erleiden.

Auswirkungen

Unternehmen, die von diesen Anforderungen betroffen sind, müssen gemäß der Datenschutzbestimmungen des Gramm-Leach-Biley Act in Kombination mit den Bestimmungen des Federal Deposit Insurance Act, Abschnitt 36:

• Kundendaten und -informationen schützen und überwachen
• ein effektives Risikomanagement entwickeln und überwachen
• spezifische interne Sicherheitskontrollen zum Schutz dieser Daten festlegen, umsetzen und prüfen

Thales unterstützt Ihr Unternehmen bei der Einhaltung des GLBA durch die folgenden Maßnahmen:

• Datenerkennung und -klassifizierung
• Datenzugriffskontrolle
• Verschlüsselung und Tokenisierung (Pseudonymisierung) von Data-at-Rest
• Verschlüsselung von Data-in-Motion
• Schlüsselverwaltung
• Aufbewahrung und Überwachung von Protokollen der Benutzerzugriffe
• Einsatz von Hardware-Sicherheitsmodulen (HSM) zur Ausführung von Verschlüsselungsprozessen und zum Schutz kryptographischer Schlüssel

Datenerfassung und -klassifizierung

Beim Schutz sensibler Daten muss zunächst herausgefunden werden, wo im Unternehmen sich diese Daten befinden. Anschließend müssen diese Daten als sensibel klassifiziert und typisiert werden (z. B. PII, Finanzdaten, IP, HHI, vertrauliche Kundendaten usw.), damit Sie die am besten geeigneten Datenschutztechniken anwenden können. Außerdem ist es wichtig, die Daten regelmäßig zu überwachen und zu bewerten, damit neue Daten nicht übersehen werden und Ihr Unternehmen nicht gegen Bestimmungen verstößt.

CipherTrust Data Discovery and Classification von Thales erkennt schnell und präzise strukturierte sowie unstrukturierte Daten on-premises und in der Cloud. Diese Lösung unterstützt sowohl agentenlose als auch agentenbasierte Bereitstellungsmodelle. Sie verfügt über integrierte Templates, die eine schnelle Identifizierung regulierter Daten ermöglicht, Sicherheitsrisiken deutlich macht und dazu beiträgt, Lücken bei der Einhaltung von Bestimmungen aufzudecken. Ein genau festgelegter Workflow zeigt auf, wo die Sicherheitslücken liegen und reduziert die für deren Behebung aufgewendete Zeit. Detaillierte Berichte unterstützen Compliance-Programme und erleichtern die Kommunikation auf Geschäftsleitungsebene.

Leistungsstarke Zugriffsverwaltung und Authentifizierung

Die Zugriffsverwaltungs- und Authentifizierungslösungen von Thales bieten die erforderlichen Sicherheitsmechanismen und Berichtsfunktionen, die Unternehmen für die Einhaltung von Datensicherheitsvorschriften benötigen. Unsere Lösungen schützen sensible Daten, indem Sie geeignete Zugriffskontrollen durchsetzen, sobald Benutzer auf Anwendungen zugreifen, in denen sensible Daten gespeichert sind. Sie unterstützen eine große Bandbreite an Authentifizierungsmethoden sowie richtlinien- und rollenbasierten Zugriff und helfen Unternehmen dabei, das Risiko von Datenschutzverletzungen aufgrund kompromittierter oder gestohlener Zugangsdaten oder deren Missbrauch durch Insider zu senken.

Dank intelligentem Single-Sign-on und Step-up-Authentifizierung können Organisationen die Benutzerfreundlichkeit erhöhen. Endbenutzer müssen sich nur bei Bedarf authentifizieren. Unternehmen können mithilfe umfangreicher Berichtsfunktionen detaillierte Audit-Protokolle aller Zugriffs- und Authentifizierungsereignisse erstellen. So ist die Einhaltung zahlreicher Vorschriften gewährleistet.

Schutz sensibler Data-at-Rest

Die CipherTrust Data Security Platform ist eine integrierte Suite datenzentrierter Sicherheitsprodukte und -lösungen, die Erkennung, Schutz und Kontrolle von Daten auf einer einzigen Plattform vereint.

• Erkennen: Ein Unternehmen muss in der Lage sein, Daten dort zu erkennen, wo sie sich befinden, und diese zu klassifizieren. Diese Daten können in unterschiedlichen Formen vorliegen: Dateien, Datenbanken, Big Data, und sie können on-premises, in der Cloud oder als Sicherungskopien gespeichert sein. Datensicherheit und die Einhaltung von Vorgaben beginnt damit, gefährdete sensible Daten zu finden, bevor Hacker oder Prüfer dies tun. Mithilfe der CipherTrust Data Security Platform erhalten Unternehmen mittels effizienter Datenerkennung, -klassifizierung und Risikoanalysen einen vollständigen Überblick über Ihre sensiblen Daten on-premises und in der Cloud.
• Schützen: Sobald ein Unternehmen weiß, wo sich seine sensiblen Daten befinden, können Schutzmaßnahmen wie Verschlüsselung oder Tokenisierung ergriffen werden. Damit sensible Daten erfolgreich durch Verschlüsselung und Tokenisierung gesichert werden können, müssen die entsprechenden kryptographischen Schlüssel ebenfalls vom Unternehmen gesichert, verwaltet und kontrolliert werden. Die CipherTrust Data Security Platform stellt umfangreiche Datensicherheitsfunktionen bereit. Dazu gehören Verschlüsselung auf Dateiebene mit Zugriffskontrollen, Verschlüsselung auf Anwendungsebene, Datenbankverschlüsselung, statische Datenmaskierung, Tokenisierung ohne Vault mit richtlinienbasierter dynamischer Datenmaskierung sowie Tokenisierung mit Vault zur Unterstützung einer Vielzahl an Anwendungsfällen im Zusammenhang mit Datenschutz.
• Kontrolle: Das Unternehmen ist verpflichtet, den Zugriff auf seine Daten zu kontrollieren und die kryptographischen Schlüssel zentral zu verwalten. Alle Bestimmungen und Vorschriften zur Datensicherheit verlangen von Unternehmen, dass sie sowohl berechtigten als auch unbefugten Zugriff auf Daten und kryptographische Schlüssel erkennen, kontrollieren und melden. Die CipherTrust Data Security Platform bietet robuste Schlüsselverwaltung für Unternehmen unabhängig vom Cloud-Anbieter und für verschiedene hybride Cloud-Umgebungen. So können kryptographische Schlüssel zentral verwaltet und Sicherheitsrichtlinien erstellt werden, damit Unternehmen sensible Daten in der Cloud, on-premises und in hybriden Umgebungen kontrollieren und schützen können.
• Überwachen: Schließlich muss das Unternehmen auch den Zugriff auf sensible Daten überwachen, um laufende oder kürzlich stattgefundene Angriffe böswilliger Insider, privilegierte Nutzer, ATPs und sonstige Cyberbedrohungen zu erkennen. Die Protokolle und Berichte von CipherTrust Security Intelligence optimieren die Compliance-Berichterstattung und beschleunigen die Erkennung von Bedrohungen mithilfe führender SIEM-Systeme (Security Information and Event Management). Diese Lösung ermöglicht eine sofortige automatische Eskalation und Reaktion auf unberechtigte Zugriffsversuche und stellt alle Daten bereit, die zur Erstellung von Verhaltensmustern erforderlich sind, um verdächtige Nutzungen durch autorisierte Benutzer zu identifizieren.

Schutz sensibler Data-in-Motion

Die High Speed Encryptors (HSE) von Thales bieten netzwerkunabhängige Verschlüsselung für Data-in-Motion (Ebene 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet. Mit unseren HSE-Lösungen können Kunden Daten, Videos, Sprach- und Metadaten besser vor Lauschangriffen, Überwachung und offenem und verborgenen Abfangen schützen.

Schutz kryptographischer Schlüssel

Luna-HSM von Thales bieten eine gehärtete, manipulationssichere Umgebung unter anderem für sichere kryptographische Verarbeitung, Schlüsselerstellung und -schutz sowie Verschlüsselung. Luna-HSM sind in drei nach FIPS 140-2 zertifizierten Formfaktoren erhältlich und unterstützen zahlreiche unterschiedliche Bereitstellungsszenarien.

Außerdem können Sie mit Luna-HSM:

• Schlüssel für Root- und Zertifizierungsstellen erstellen und schützen und so PKI in unterschiedlichen Anwendungsfällen unterstützen
• Ihren Anwendungscode signieren, damit sichergestellt ist, dass Ihre Software sicher, unverändert und authentisch bleibt.
• digitale Zertifikate für die Berechtigungsprüfung und Authentifizierung proprietärer elektronischer Geräte für IoT-Anwendungen und sonstige Netzwerkbereitstellungen erstellen.