Thales banner

Cumplimiento del marco para la adopción de servicios en nube en la India

Normas básicas de seguridad y cumplimiento de la normativa para las entidades reguladas en la India.

Marco para la adopción de servicios en nube por parte de la Securities and Exchange Board of India (SEBI)

Prueba

Securities and Exchange Board of India (SEBI) ha introducido el macrco Framework for the Adoption of Cloud Services by SEBI Regulated Entities (REs) en la circular no. SEBI/HO/ITD/ITD_VAPT/P/CIR/2023/033 el 6 de marzo de 2023, que establece normas básicas de seguridad y cumplimiento de la normativa. Este marco es una adición crucial a las directrices existentes de la SEBI sobre computación en nube y está diseñado para ayudar a las ER a implementar prácticas de adopción de la nube seguras y conformes.

El principal objetivo de este marco es destacar los riesgos clave y las medidas de control obligatorias que las entidades reguladas (ER) deben establecer antes de adoptar la computación en nube. El marco también establece los cumplimientos normativos y legales por parte de las ER si adoptan tales soluciones.

Thales ofrece soluciones integradas que permiten a su organización abordar el Marco para la Adopción de Servicios en la Nube con un enfoque en los Principios de Control de Seguridad y Gestión de Riesgos de Concentración.

  • Regulación
  • Cumplimiento

Descripción general de la regulación

La circular del Marco para la adopción de servicios en nube expone los riesgos exclusivos de los servicios públicos en nube para orientar a las ER en la elaboración de su estrategia de gestión de riesgos. También señala algunas buenas prácticas para mitigar las amenazas específicas de la nube. Si las EER no establecen las medidas de seguridad adecuadas, tal y como recomienda la circular, los datos que coloquen en la nube podrían correr el riesgo de verse comprometidos por agentes malintencionados; a su vez, cualquier incidente de seguridad resultante podría afectar a la capacidad de las EER para mantener su continuidad operativa y el cumplimiento de sus obligaciones legales.

Se trata de un marco basado en principios que cubre nueve aspectos clave con los temas que se indican a continuación:

  • Desarrollar una estrategia de gestión de riesgos de la nube pública que tenga en cuenta las características únicas de los servicios de nube pública.
  • Aplicación de controles estrictos en ámbitos como la ciberseguridad, la protección de datos y la gestión de claves criptográficas.
  • Ampliación de las operaciones de ciberseguridad para incluir la seguridad de las cargas de trabajo de la nube pública.
  • Gestión de la resistencia a la nube, la externalización, la dependencia del proveedor y los riesgos de concentración.
  • Garantizar que el personal dispone de los conocimientos necesarios para gestionar las cargas de trabajo y los riesgos de la nube pública.

El Marco para la Adopción de Servicios en la Nube por las Entidades Reguladas (ER) de la SEBI se introdujo el 6 de marzo de 2023. El marco es una adición a las circulares / directrices / consejos ya existentes de la SEBI y entra en vigor inmediatamente para todas las asignaciones / proyectos nuevos o propuestos de incorporación a la nube de las ER. Las ER que actualmente utilizan servicios en la nube deben asegurarse de que, cuando proceda, se revisen todos esos acuerdos y se ajusten al marco en un plazo de 12 meses.

Thales ofrece soluciones integradas que permiten a su organización abordar el Marco para la Adopción de Servicios en la Nube con un enfoque en los Principios de Control de Seguridad y Gestión de Riesgos de Concentración.

Proteger los datos en reposo

Thales ofrece múltiples soluciones para datos en reposo que pueden coexistir con el cifrado nativo proporcionado por el proveedor de servicios en la nube (CSP).

Protección de datos confidenciales en movimiento

Con los cifradores de red de alta velocidad (HSE) de Thales, las soluciones protegen los datos en movimiento mientras se desplazan a través de la red entre los centros de datos, la sede central, las oficinas satelitales y de la sucursal, para respaldar sitios de recuperación ante desastres, localmente o en la nube.

CipherTrust Transparent Encryption cifra archivos y deja sus metadatos sin cifrar al mismo tiempo. De esta forma, los CSP pueden llevar a cabo tareas de administración de sistemas sin obtener acceso privilegiado a los datos confidenciales que residen en los sistemas que administran.

 

Adoptar el sistema BYOE (Bring Your Own Encryption) y BYOK (Bring Your Own Key)

CipherTrust Cloud Key Manager admite casos de uso de Traiga su propia llave (BYOK) y Mantenga su propia llave (HYOK) en múltiples infraestructuras de nube y aplicaciones SaaS, en una única interfaz. Proporciona auditoría de claves, generación de claves seguras y gestión del ciclo de vida de las claves de extremo a extremo, junto con funciones de rotación automática, recuperación y revocación de claves que no están disponibles en ningún sistema de gestión de claves (KMS) gestionado por proveedores en la nube.

Bring Your Own Key (BYOK) y Hold Your Own Key (HYOK) proporcionan una mayor separación de funciones para las claves de cifrado, el RE puede mantener el control de sus claves en lugar de confiárselas al CSP.

CipherTrust Transparent Encryption proporciona cifrado transparente y control de acceso para datos que residen en Amazon S3, Azure Files y más. También ofrece soluciones avanzadas de múltiples nubes Bring Your Own Encryption (BYOE) para evitar el bloqueo del cifrado del proveedor de la nube y garantizar la movilidad de los datos para proteger de manera eficiente los datos en varios proveedores de la nube con una administración de claves de cifrado centralizada e independiente.

 

Protección de claves criptográficas

Los Módulos de seguridad de Hardware (HSM) Luna de Thales le permiten a las organizaciones disponer de Hardware dedicado para un mayor grado de control y propiedad sobre las claves criptográficas en lugar de con el Proveedor de Servicios en la Nube (CSP).

 

Soluciones agnósticas para CSP

CipherTrust Cloud Key Manager combina la compatibilidad con el servicio BYOK del proveedor de servicios en la nube y la gestión de claves de la nube que le proporciona a los consumidores de la nube controles sólidos sobre los ciclos de vida de las claves de cifrado para los datos cifrados por un proveedor de servicios de la nube.

Thales CipherTrust Transparent Encryption (CTE) y CipherTrust Tokenization ofrece soluciones avanzadas multinube para Bring Your Own Encryption (BYOE) y evitar el bloqueo del cifrado del proveedor de la nube y garantizar la movilidad de los datos para proteger de manera eficiente los datos en varios proveedores de la nube con una administración de claves de cifrado centralizada e independiente.

Recursos recomendados

Addressing The Requirements of The Framework for Adoption of Cloud Services by SEBI Regulated Entities

Addressing The Requirements of The Framework for Adoption of Cloud Services by SEBI Regulated Entities - Compliance Brief

This framework is a crucial addition to SEBI’s existing guidelines on cloud computing and is designed to help REs implement secure and compliant cloud adoption practices in India.

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Best Practices for Cloud Data Protection and Key Management - White Paper

Best Practices for Cloud Data Protection and Key Management - White Paper

This paper describes security best practices for protecting sensitive data in the public cloud, and explains concepts such as BYOK, HYOK, Bring Your Own Encryption (BYOE), key brokering and Root of Trust (RoT). It explains the level of data protection that can be achieved by...

Otras normativas clave de protección de datos y seguridad

RGPD

REGLAMENTO
ACTIVA AHORA

El RGPD es tal vez la norma de privacidad de datos más completa hasta la fecha. Afecta a cualquier organización que procese los datos personales de los ciudadanos de la UE, independientemente de la ubicación de la sede de la organización.

PCI DSS

MANDATO
ACTIVA AHORA

Cualquier organización que desempeñe un papel en el procesamiento de pagos con tarjetas de crédito y débito debe cumplir con los estrictos requisitos de cumplimiento de PCI DSS para el procesamiento, el almacenamiento y la transmisión de datos de cuentas.

Leyes de notificación de brechas de datos

REGLAMENTO
ACTIVA AHORA

Los países de todo el mundo han promulgado requisitos de notificación de brechas de datos tras la pérdida de información personal. Varían según la jurisdicción, pero casi siempre incluyen una cláusula de "safe harbour".