So helfen die Lösungen von Thales bei der Einhaltung der GLBA-Vorschriften
Der Gramm-Leach-Bliley Act (GLBA) – auch bekannt als Financial Services Modernization Act von 1999 – verpflichtet Finanzunternehmen, ihren Kunden ihre Vorgehensweise in Bezug auf die Weitergabe von Informationen zu erklären und sensible Daten zu schützen. Das Hauptziel ist die Verhinderung und Eindämmung von Cyber-Bedrohungen. Die Safeguards Rule der Federal Trade Commission (FTC) verlangt von den betroffenen Unternehmen die Entwicklung, Umsetzung und Aufrechterhaltung eines Informationssicherheitsprogramms mit administrativen, technischen und physischen Maßnahmen zum Schutz von Kundendaten.
Das GLBA-Gesetz besteht aus drei Hauptvorschriften zum Schutz der Privatsphäre und sensibler Verbraucherdaten, die sich im Besitz von Finanzunternehmen befinden:
Das GLBA-Gesetz gilt für ein breites Spektrum von Unternehmen, die als Finanzunternehmen eingestuft werden. Wie die FTC erklärt, gilt das GLBA-Gesetz für „alle Unternehmen, unabhängig von ihrer Größe, die in erheblichem Umfang Finanzprodukte oder -dienstleistungen anbieten“. Dazu gehören nicht nur Unternehmen, die Finanzprodukte oder -dienstleistungen wie Kredite, Finanzberatung oder Versicherungen anbieten, sondern auch Unternehmen, die u. a. Gutachten, Maklerdienste und Kreditbedienung, Scheckeinlösung, Überbrückungskredite, Kurierdienste, Nichtbankenkredite und Steuererstellungsdienste anbieten.
Der Gramm-Leach-Bliley Act wurde 1999 vom US-Kongress verabschiedet und ist in vollem Umfang in Kraft. Das Gesetz wird in erster Linie von der FTC durchgesetzt, wobei auch andere US-Bundesbehörden wie das Federal Reserve Board und die FDIC sowie die Regierungen der Bundesstaaten für die Regulierung von Versicherungsanbietern zuständig sind.
Einem Finanzinstitut, das gegen das GLBA-Gesetzt verstößt, drohen Geldstrafen in Höhe von 100.000 US-Dollar für jeden Verstoß. Die leitenden Angestellten und Vorstandsmitglieder können für jeden Verstoß mit einer Geldstrafe von bis zu 10.000 US-Dollar und einer Freiheitsstrafe von fünf Jahren oder beidem belegt werden.
Thales unterstützt Unternehmen bei der Einhaltung des GLBA-Gesetzes, indem es die wesentlichen Anforderungen zum Schutz von Kundendaten erfüllt.
Die Safeguards Rule des GLBA-Gesetztes verlangt die Entwicklung, Umsetzung und Aufrechterhaltung eines Informationssicherheitsprogramms mit administrativen, technischen und physischen Maßnahmen zum Schutz von Kundendaten.
Teil 314. b:
„Risikobewertung, die … Risiken für die Sicherheit von Kundeninformationen identifiziert“
CipherTrust Data Discovery and Classification erkennt strukturierte sowie unstrukturierte Daten on-premises und in der Cloud. Integrierte Templates ermöglichen eine schnelle Identifizierung regulierter Daten, machen Sicherheitsrisiken sichtbar und tragen dazu bei, Lücken bei der Einhaltung von Bestimmungen aufzudecken.
Teil 314. c.1:
„Implementierung und regelmäßige Überprüfung von Zugriffskontrollen. Festlegen, wer Zugriff auf Kundendaten hat, und regelmäßig überprüfen , ob sie noch einen legitimen geschäftlichen Bedarf dafür haben.“
Die Identitäts- und Zugriffsmanagementlösungen von Thales OneWelcome beschränken den Zugriff interner und externer Benutzer auf der Grundlage ihrer Rollen und ihres Kontexts. Durch starke Authentifizierung (MFA), granulare Zugriffsrichtlinien und fein abgestufte Autorisierungsrichtlinien wird sichergestellt, dass der richtige Benutzer zur richtigen Zeit Zugriff auf die richtige Ressource erhält, wodurch das Risiko eines unbefugten Zugriffs minimiert wird.
Das Thales OneWelcome Consent & Preference Management-Modul ermöglicht es Unternehmen, die Zustimmung von Endverbrauchern einzuholen, sodass Finanzunternehmen einen klaren Überblick über die zugestimmten Daten haben und so den Zugriff auf die Daten, die sie nutzen dürfen, verwalten können.
CipherTrust Transparent Encryption verschlüsselt sensible Daten und gewährleistet granulare Richtlinien für die Verwaltung des privilegierten Benutzerzugriffs, die nach Benutzer, Prozess, Dateityp, Tageszeit und anderen Parametern angewendet werden können. Es bietet eine vollständige Trennung der Rollen, sodass nur autorisierte Nutzer und Prozesse unverschlüsselte Daten einsehen können.
Teil 314. c.3:
„Alle von gespeicherten oder übermittelten Kundendaten durch Verschlüsselung sowohl bei der Übertragung über externe Netze als auch im Ruhezustand schützen“.
Schutz von Data-at-Rest:
CipherTrust Data Security Platform bietet mehrere Funktionen zum Schutz von Data-at-Rest in Dateien, Volumes und Datenbanken. Dazu gehören:
Schutz von Schlüsseln und Zertifikaten:
Luna Hardware Security Models (HSMs) schützen kryptografische Schlüssel und bieten eine nach FIPS 140-2 Level 3 gehärtete, manipulationssichere Umgebung für sichere kryptografische Verarbeitung, Schlüsselerzeugung und -schutz, Verschlüsselung und mehr. Luna HSMs sind on-premises, in der Cloud (as-a-Service) und in hybriden Umgebungen verfügbar.
Schutz von Data-in-Motion:
High Speed Encryptors (HSE) von Thales bieten eine netzwerkunabhängige Verschlüsselung für Data-in-Motion (Layer 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet. Mit unseren Lösungen zur Netzwerkverschlüsselung bieten Kunden einen besseren Schutz von Daten, Videos, Anrufen und Metadaten vor Lauschangriffen, Überwachung und offenem und verborgenen Abfangen – ohne dass Abstriche bei der Leistung gemacht werden müssen.
Teil 314. c, 4:
„Sichere Entwicklungspraktiken für intern entwickelte Anwendungen einführen.“
CipherTrust Platform Community Edition macht es DevSecOps leicht, Datenschutzkontrollen in hybriden und Multi-Cloud-Anwendungen zu implementieren. Die Lösung umfasst Lizenzen für CipherTrust Manager Community Edition, Data Protection Gateway und CipherTrust Transparent Encryption für Kubernetes.
CipherTrust Secrets Management ist eine hochmoderne Lösung für das Secrets-Management. Sie schützt und automatisiert den Zugriff auf Secrets über DevOps-Tools und Cloud-Workloads hinweg, einschließlich Secrets, Anmeldeinformationen, Zertifikaten, API-Schlüsseln und Token.
Teil 314. c, 5:
„Multi-Faktor-Authentifizierung implementieren …“
SafeNet Trusted Access ist eine Cloud-basierte Zugriffsverwaltungslösung, die kommerzielle, handelsübliche Multi-Faktor-Authentifizierung mit einer breiten Palette von Hardware- und Software-Authentifizierungsmethoden und Formfaktoren bietet.
Teil 314. c, 8:
„Ein Protokoll über die Aktivitäten der autorisierten Benutzer führen und auf unberechtigten Zugriff achten.“
Die Data Security Solutions von Thales führen alle umfangreiche Zugriffsprotokolle und verhindern unberechtigten Zugriff. Insbesondere die Sicherheitsprotokolle und -berichte von CipherTrust Transparent Encryption optimieren die Compliance-Berichterstattung und beschleunigen die Erkennung von Bedrohungen mithilfe führender SIEM-Systeme (Security Information and Event Management).
SafeNet Trusted Access ermöglicht es Unternehmen, auf Datenschutzverletzungen zu reagieren und Risiken zu minimieren, indem es einen sofortigen, aktuellen Audit-Trail für alle Zugriffsereignisse auf alle Systeme bereitstellt.
Teil 314. f, 2:
„Dienstleister überwachen, indem Dienstleister vertraglich dazu verpflichtet werden, derartige Sicherheitsvorkehrungen zu treffen und zu gewährleisten …“
CipherTrust Cloud Key Manager kann die Drittanbieterrisiken reduzieren, indem er die zum Schutz von sensiblen Daten, die von Drittanbietern in der Cloud im Rahmen von „Bring Your Own Keys“-Systemen (BYOK) gehostet werden, eingesetzten Schlüssel on-premises unter der vollständigen Kontrolle des Finanzunternehmens verwaltet.
CipherTrust Transparent Encryption bietet eine vollständige Trennung der administrativen Rollen, sodass nur autorisierte Nutzer und Prozesse unverschlüsselte Daten einsehen können. Sofern kein triftiger Grund für den Zugriff auf die Daten vorliegt, sind sensible Daten, die in einer Cloud eines Drittanbieters gespeichert sind, für unbefugte Nutzer nicht im Klartext zugänglich.
Thales Data Security bietet das umfassendste Spektrum an Datenschutzlösungen, wie Thales Data Protection on Demand (DPoD), das integrierte Hochverfügbarkeit und Backups über die Cloud-basierten Luna Cloud HSM- und CipherTrust Key Management-Dienste sowie die HSE Network Encryption Appliances, die Optionen zur Zeroisierung bieten.
Product review of SafeNet Trusted Access. Explore the options of authentication security that STA offers, to bridge the MFA, SSO and access management worlds in a single, well-integrated package. Discover how your business can bring security to access management.
In today’s ever increasing digital world, protecting critical data and ensuring the identity of those accessing data is essential. The standard measures once thought to be strong enough are simply insufficient when compared to the sophistication and persistence of today’s...
The crucial first step in privacy and data protection regulatory compliance is to understand what constitutes sensitive data, where it is stored, and how it is used. If you don't know what sensitive data you have, where it is, and why you have it, you cannot apply effective...
Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...
Safeguarding sensitive data requires much more than just securing a data center’s on-premises databases and files. The typical enterprise today uses three or more IaaS or PaaS providers, along with fifty or more SaaS applications, big data environments, container technologies,...
Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...
You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...
Secure your sensitive data and critical applications by storing, protecting and managing your cryptographic keys in Thales Luna Network Hardware Security Modules (HSMs) - high-assurance, tamper-resistant, network-attached appliances offering market-leading performance and...
Business critical data is flowing everywhere. The boundaries are long gone. As an enterprise-wide data security expert, you are being asked to protect your organization’s valuable assets by setting and implementing an enterprise-wide encryption strategy.IT security teams are...
Networks are under constant attack and sensitive assets continue to be exposed. More than ever, leveraging encryption is a vital mandate for addressing threats to data as it crosses networks. Thales High Speed Encryption solutions provide customers with a single platform to ...
Die DSGVO ist vielleicht die bisher umfassendste Datenschutznorm und betrifft jede Organsation, die personenbezogene Daten von EU-Bürgern verarbeitet - unabhängig davon, wo die Organisation ihren Sitz hat.
Jede Organisation, die eine Rolle bei der Verarbeitung von Kredit- und Debitkartenzahlungen spielt, muss die strengen PCI-DSS-Anforderungen für die Verarbeitung, Speicherung und Übermittlung von Konteninformationen erfüllen.
Vorschriften zur Benachrichtigung bei Datenschutzverletzungen nach dem Verlust personenbezogener Daten wurden von Ländern rund um den Globus erlassen. Sie variieren je nach Gerichtsbarkeit, enthalten aber fast immer eine "Safe-Harbour"-Klausel.
