Thales banner

Cumplimiento de seguridad de los datos de la Directriz sobre seguridad de las TIC en Bangladés

Prueba

El Banco de Bangladés introdujo la última versión 4.0 de la Directriz sobre seguridad de las TIC que describe cómo los Bancos y las Organizaciones Financieras (OF) deben gestionar los riesgos informáticos y de seguridad y proporcionar al banco/OF una mejor comprensión de las expectativas de supervisión en cuanto a la gestión de los riesgos informáticos y relacionados con la seguridad. Directriz sobre seguridad de las TIC: la versión 1.0 se lanzó por primera vez en octubre de 2005. La versión 4.0 es la más reciente y se publicó en abril de 2023.

La creciente complejidad de las tecnologías de la información y la comunicación (TIC) y los consiguientes riesgos para la seguridad tienen importantes repercusiones negativas en las operaciones de las organizaciones financieras que podrían afectar negativamente a los intereses de los clientes, la reputación de la organización y la economía del país. Por lo tanto, se requieren controles adecuados para un programa de seguridad de la información con una estrategia de seguridad amplia y de varios niveles.

Thales ofrece soluciones integradas de seguridad de datos que permiten a los bancos y organizaciones financieras alinear varios capítulos de la Directriz sobre seguridad de las TIC.

  • Regulación
  • Cumplimiento

Descripción general de la regulación

Directriz sobre seguridad de las TIC se aplica a bancos, instituciones financieras no bancarias (NBFI), proveedores de servicios financieros móviles (MFSP), proveedores de servicios de pago (PSP), operadores de sistemas de pago (PSO), cajeros automáticos de marca blanca y adquirentes de comerciantes (WLAMA) y otros proveedores de servicios financieros regulados por el Banco de Bangladesh.

Esta Directriz revisada sobre las TIC define los requisitos mínimos de control que debe cumplir cada organización. Los objetivos principales de la directriz son:

  1. Definir la gobernanza de las TIC en el sector financiero
  2. Ayudar a las organizaciones a desarrollar su propia política de seguridad de las TIC
  3. Definir un enfoque estándar de gestión de la seguridad de las TIC
  4. Ayudar a las organizaciones a desarrollar infraestructuras TIC seguras y fiables
  5. Definir un entorno seguro para el tratamiento de datos
  6. Definir un enfoque holístico de la gestión de riesgos de las TIC
  7. Definir un procedimiento para el Análisis del Impacto en el Negocio en conjunción con la Gestión de Riesgos de las TIC
  8. Concienciar sobre las funciones y responsabilidades de las partes interesadas en la protección de la información
  9. Priorizar los sistemas de información y TIC y los riesgos asociados que deben mitigarse
  10. Definir un enfoque de gestión de proyectos adecuado para los proyectos de TIC
  11. Garantizar que se cumplan las buenas prácticas (normas del sector) en el uso de la tecnología
  12. Desarrollar un marco para la gestión oportuna y eficaz de los incidentes operativos y de seguridad de la información
  13. Mitigar cualquier interrupción de las actividades empresariales y proteger los procesos empresariales críticos de los efectos de fallos importantes de los sistemas de información o catástrofes y garantizar su reanudación a tiempo
  14. Definir los controles necesarios para proteger los datos transmitidos por las redes de comunicación
  15. Garantizar la integración de la seguridad en todo el ciclo de vida de las adquisiciones, el desarrollo y el mantenimiento de los sistemas de información
  16. Minimizar los riesgos de seguridad de la infraestructura bancaria electrónica, incluidos los dispositivos de cajeros automáticos y puntos de venta, las tarjetas de pago, la banca por Internet, los servicios financieros móviles, etc.
  17. Sensibilizar y formar a los usuarios asociados a las actividades de TIC para alcanzar los objetivos empresariales
  18. Posibilitar un uso seguro de las tecnologías emergentes.

Los requisitos se detallan en 13 capítulos.

Thales permite a los bancos y organizaciones financieras de Bangladés ajustarse a los seis capítulos siguientes de la Directriz sobre seguridad de las TIC.

Capítulo 4: Gestión de la prestación de servicios de las TIC

  • CipherTrust Cloud Key Management permite a las organizaciones separar las claves de los datos almacenados en la nube, evitando el acceso no autorizado a los datos por parte del proveedor de servicios en la nube mediante el uso de la tecnología Hold-Your-Own-Key (HYOK), las organizaciones conservan el control total y la propiedad de sus datos mediante el control del acceso a las claves de cifrado.
  • Protección de los datos en reposo: CipherTrust Data Security Platform ofrece múltiples capacidades para proteger los datos en reposo en archivos, volúmenes y bases de datos. Entre ellas: CipherTrust Transparent Encryption y CipherTrust Tokenization.
  • Protección de datos en movimiento: Thales High Speed Network Encryption (HSE) ofrecen cifrado de datos en movimiento independiente de la red (Capas 2, 3 y 4) garantizando que los datos estén protegidos al trasladarse de un centro a otro, o desde las instalaciones a la nube o viceversa.

Capítulo 5: Gestión de la seguridad de las infraestructuras

  • CipherTrust Data Discovery and Classification permite a las organizaciones localizar y clasificar eficazmente los datos regulados estructurados y no estructurados a través de múltiples fuentes de datos según los principales requisitos de cumplimiento globales y regionales.
  • Las soluciones Thales High Speed Network Encryption (HSE) ofrecen cifrado de datos en tránsito/en movimiento independiente de la red (capas 2, 3 y 4), lo que garantiza que los datos estén protegidos conforme se trasladan de un centro a otro, o desde las instalaciones a la nube y viceversa.
  • CipherTrust Transparent Encryption (CTE) ofrece cifrado de datos en reposo independiente de la base de datos con administración centralizada de claves, control de acceso de usuarios privilegiados y registro detallado de auditoría de acceso a datos que ayuda a las organizaciones a cumplir la normativa y los requisitos de buenas prácticas para proteger los datos.
  • Los Hardware Security Modules (HSM) protegen las claves criptográficas y proporcionan un entorno fortalecido FIPS 140-2 de nivel 3 y resistente a manipulaciones indebidas para un procesamiento criptográfico seguro, generación y protección de claves, cifrado y más. Luna HSMs están disponibles en las instalaciones, en la nube como servicio y en entornos híbridos, y permiten realizar copias de seguridad de las claves en HSM de copia de seguridad que cumplen la norma FIPS 140-2 de nivel 3.
  • Thales Key Management optimiza y fortalece la administración de claves en entornos de nube y empresariales en un diverso conjunto de casos de uso. Aprovechando los dispositivos virtuales o de hardware compatibles con FIPS 140-2, las herramientas y soluciones de administración de claves de Thales brindan alta seguridad a entornos confidenciales y centralizan la administración de claves para su cifrado local, así como para sus aplicaciones de terceros.

Capítulo 9: Gestión de la continuidad de las actividades

  • La información confidencial en cintas o discos puede protegerse con CipherTrust Data Security Platform, que garantiza el cifrado de los datos antes de su almacenamiento y transporte. Thales Key Management se integra con los principales proveedores de soluciones de copia de seguridad para gestionar las claves de cifrado de las copias de seguridad y separar los datos de las claves. También protege los datos antes de realizar la copia de seguridad y almacenarlos en el soporte extraíble.

Capítulo 10: Adquisición y desarrollo de sistemas de información

  • CipherTrust Secrets Management (CSM) es una solución de gestión de secretos de última generación, impulsada por Akeyless, que protege y automatiza el acceso a secretos críticos para la misión a través de herramientas DevOps y cargas de trabajo en la nube, incluidos secretos, credenciales, certificados, claves API y tokens.
  • CipherTrust Data Protection Gateway ofrece una protección de datos transparente a cualquier servicio o microservicio web RESTful a través de API REST.

Capítulo 11: Seguridad en los pagos digitales

  • PayShield 10k HSM es un Hardware Security Module (HSM) de pago empleado a lo largo de todo el ecosistema global de pagos por emisores, proveedores de servicios, adquirientes, procesadores y redes de pagos. Desempeña un papel fundamental en la seguridad de los procesos de emisión de credenciales de pago, autenticación de usuarios, autenticación de tarjetas y protección de datos sensibles, tanto en los pagos presenciales como en los digitales a distancia.

Capítulo 14: Gestión de tecnologías emergentes

  • Thales Luna Network HSMs han sido diseñados para almacenar las claves privadas que los miembros de blockchain utilizan para firmar todas las transacciones en un procesador criptográfico exclusivo FIPS 140-2 Nivel 3. Las claves se almacenan a lo largo de su ciclo de vida, garantizando que por personas o dispositivos no autorizados no puedan acceder a las claves criptográficas, modificarlas ni utilizarlas.

Recursos recomendados

Data Security Compliance with the Guideline on ICT Security in Bangladesh

Data Security Compliance with the Guideline on ICT Security in Bangladesh - Compliance Brief

Bangladesh Bank introduced the latest Guideline on ICT Security – version 4.0 that outlines how Banks and Financial Organizations (FOs) should manage IT and security risks and provide the Bank/FO with a better understanding of supervisory expectations regarding managing IT and...

Addressing The Requirements of The Framework for Adoption of Cloud Services by SEBI Regulated Entities

Addressing The Requirements of The Framework for Adoption of Cloud Services by SEBI Regulated Entities - Compliance Brief

This framework is a crucial addition to SEBI’s existing guidelines on cloud computing and is designed to help REs implement secure and compliant cloud adoption practices in India.

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Best Practices for Cloud Data Protection and Key Management - White Paper

Best Practices for Cloud Data Protection and Key Management - White Paper

This paper describes security best practices for protecting sensitive data in the public cloud, and explains concepts such as BYOK, HYOK, Bring Your Own Encryption (BYOE), key brokering and Root of Trust (RoT). It explains the level of data protection that can be achieved by...

Otras normativas clave de protección de datos y seguridad

RGPD

REGLAMENTO
ACTIVA AHORA

El RGPD es tal vez la norma de privacidad de datos más completa hasta la fecha. Afecta a cualquier organización que procese los datos personales de los ciudadanos de la UE, independientemente de la ubicación de la sede de la organización.

PCI DSS

MANDATO
ACTIVA AHORA

Cualquier organización que desempeñe un papel en el procesamiento de pagos con tarjetas de crédito y débito debe cumplir con los estrictos requisitos de cumplimiento de PCI DSS para el procesamiento, el almacenamiento y la transmisión de datos de cuentas.

Leyes de notificación de brechas de datos

REGLAMENTO
ACTIVA AHORA

Los países de todo el mundo han promulgado requisitos de notificación de brechas de datos tras la pérdida de información personal. Varían según la jurisdicción, pero casi siempre incluyen una cláusula de "safe harbour".