Las Directrices para la Prestación de Sistemas de Tecnología de la Información («แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศ นป. 6/2567»), emitidas por la Comisión de Bolsa y Valores de Tailandia (SEC), están diseñadas para garantizar que las instituciones financieras, las sociedades de valores y otras entidades reguladas mantengan sistemas de TI seguros, fiables y eficientes. Las directrices forman parte del marco normativo más amplio de Tailandia destinado a reforzar la ciberseguridad, la protección de datos y la resiliencia operativa en los mercados de capitales.
¿Qué son las Directrices para la Prestación de Sistemas de TI de la SEC de Tailandia?
- La Comisión de Bolsa y Valores de Tailandia (SEC) supervisa las operaciones de valores y del mercado de capitales, incluida la gobernanza de TI para los proveedores de servicios financieros.
- Estas directrices están alineadas con la Ley de Ciberseguridad de Tailandia B.E. 2562 (2019) y la Ley de Protección de Datos Personales (PDPA).
- Para mitigar los riesgos relacionados con fallos de los sistemas de TI, ciberamenazas y brechas de datos.
- Para garantizar la confidencialidad, integridad y disponibilidad (la tríada CIA, por sus siglas en inglés) de los datos financieros.
- Para promover la continuidad del negocio y la preparación para la recuperación ante desastres.
- Se aplica a las sociedades de valores, los gestores de activos, las plataformas de crowdfunding y otras entidades reguladas por la SEC.
- Engloba la infraestructura informática, el software, las redes, los servicios en la nube y la subcontratación de terceros.
Documento de cumplimiento
Garantía del cumplimiento de las Directrices de la SEC para la Prestación de Sistemas de TI
Explore las soluciones para el cumplimiento de las Directrices de Gestión de los Riesgos de TI en el sector financiero, que engloban la seguridad de las tecnologías de la información y otros aspectos relacionados.
Cómo Thales puede ayudar a cumplir las Directrices para la Prestación de Sistemas de TI de la SEC en Tailandia
Las soluciones de ciberseguridad de Thales ayudan a las instituciones financieras a abordar los seis requisitos del Capítulo 2: Seguridad de las tecnologías de la información. Al simplificar el cumplimiento y automatizar la seguridad con visibilidad y control, reducen la carga de los equipos de seguridad y cumplimiento normativo.
Seguridad de las aplicaciones
Proteja las aplicaciones y las API a escala en la nube, en entornos locales o en un modelo híbrido. Nuestra gama de productos líder en el mercado incluye un cortafuegos para aplicaciones web (WAF), protección contra ataques de denegación de servicio distribuido (DDoS) y contra ataques de bots maliciosos.
Gestor de seguridad
Descubrir y clasificar los datos sensibles en entornos de TI híbridos y protegerlos automáticamente en cualquier lugar —ya sea en reposo, en tránsito o en uso— mediante cifrado, tokenización y gestión de claves. Las soluciones de Thales también identifican, evalúan y priorizan los riesgos potenciales para una evaluación del riesgo precisa, además de identificar comportamientos anómalos y supervisar la actividad para verificar el cumplimiento normativo, lo que permite a las organizaciones priorizar en qué concentrar sus esfuerzos.
Gestión de identidades y accesos
Proporcione un acceso fluido, seguro y de confianza a las aplicaciones y servicios digitales para clientes, empleados y socios. Nuestras soluciones limitan el acceso de usuarios internos y externos basándose en sus funciones y en el contexto, mediante políticas de acceso granulares y autenticación multifactor, lo que ayuda a garantizar que el usuario adecuado acceda al recurso adecuado en el momento adecuado.
Abordar las Directrices de la SEC para la Prestación de Sistemas de TI
Cómo puede ayudar Thales:
- Gestionar los derechos de acceso al sistema y a los datos (control de acceso) al ser compatible con la autorización basada en funciones (RBAC) y autorización condicional (ABAC).
- Ofrecer una gestión delegada de usuarios para conceder o revocar derechos rápidamente dejando registros de auditoría.
- Gestionar el proceso de autenticación de usuarios al ofrecer compatibilidad con la autenticación multifactor (MFA).
- Ofrecer el inicio de sesión único (SSO) y mostrarlo como un informe de actividad de inicio de sesión para cumplir con los requisitos de seguridad.
- Controlar y gestionar las cuentas de usuarios con privilegios mediante el apoyo a la imposición de la autenticación multifactor (MFA) para acceder a los sistemas críticos.
- Diseñar procedimientos de autorización y aprobación (orquestación del recorrido del usuario) para las cuentas de usuarios con privilegios, y almacenarlos y mostrarlos como un informe de actividad de usuarios con privilegios para una auditoría detallada.
- Gestionar y controlar el acceso externo (gestión del acceso de terceros) al ser compatible con la autenticación a través de redes sociales o las cuentas de la organización de origen (BYOI).
- Evaluar los riesgos antes de iniciar sesión y comprobar los riesgos de acceso en tiempo real (autenticación basada en riesgos), incluida su visualización como un informe de auditoría de accesos de terceros para permitir la supervisión, la auditoría y el control continuos.
Soluciones:
Gestión de identidades y accesos
Verificación de Identidad mediante BYOI e inicio de sesión a través de redes sociales
Autenticación basada en riesgos
Cómo puede ayudar Thales:
- Identificar los datos sensibles estructurados y no estructurados que están en riesgo en entornos de TI híbridos.
- Clasificar y asignar niveles específicos de sensibilidad a los datos al definir los repositorios de datos y los perfiles de clasificación para los distintos tipos de conjuntos de datos.
- Descubrir y clasificar los riesgos potenciales de todas las API públicas, privadas y ocultas.
Soluciones:
Seguridad de las aplicaciones
Seguridad de los datos
Cómo puede ayudar Thales:
- Detectar y prevenir las ciberamenazas con un cortafuegos para aplicaciones web, garantizando la continuidad operativa y una mayor tranquilidad.
- Proteger los activos críticos de la red frente a ataques DDoS y bots maliciosos, sin interrumpir el tráfico legítimo.
- Garantizar la disponibilidad mediante una mitigación de DDoS rápida y eficaz y un SLA de 3 segundos para ataques de las capas 3 y 4.
- Proteger frente a ataques contra la lógica de negocio y frente a muchas otras amenazas incluidas en el OWASP API Top Ten.
- Proporcionar una protección continua de todas las API mediante un descubrimiento y una clasificación exhaustivos que permiten detectar todas las API públicas, privadas y ocultas.
- Identificar el estado actual de cumplimiento normativo y documentar las brechas existentes.
- Cifrar los datos en reposo en entornos locales, en múltiples nubes y en entornos de big data o contenedores.
- Seudonimizar los datos sensibles una vez creados y asegurarse de que los datos en texto plano no sean procesados ni almacenados por personas no autorizadas, así como evitar la exposición de datos reales por parte de aplicaciones y personal.
- Proteger la raíz de confianza de un sistema criptográfico dentro de un entorno altamente seguro conforme a FIPS 140-3 de nivel 3.
- Proteger los datos en tránsito mediante cifrado de alta velocidad.
Soluciones:
Seguridad de las aplicaciones
Cortafuegos para aplicaciones web
Seguridad de los datos
Supervisión de la actividad de los datos
Descubrimiento y clasificación de datos
Análisis de riesgos de los datos
Supervisión de la actividad de los archivos
Cómo puede ayudar Thales:
- Gestionar los derechos de acceso al sistema y a los datos (control de acceso) al ser compatible con el control de acceso basado en funciones (RBAC) y el control de acceso condicional (control de acceso basado en atributos, o ABAC).
- Ofrecer derechos de usuario descentralizados (gestión delegada de usuarios), concediendo o revocando rápidamente los derechos y generando el registro de auditoría de los cambios de acceso.
- Proporcionar procesos de autenticación de usuarios al ser compatible con la autenticación multifactor, evaluación de riesgos antes de iniciar sesión (autenticación basada en riesgos) e inicio de sesión único (SSO), con un informe de registro de auditoría de la actividad de inicio de sesión.
- Controlar y gestionar las cuentas de usuarios con privilegios mediante autenticación multifactor para acceder a los sistemas críticos.
- Diseñar procedimientos de autorización y aprobación (orquestación del recorrido del usuario) para cuentas de usuario con privilegios con un informe de auditoría detallado.
- Almacenar y auditar los registros de acceso de TI, y transmitirlos a sistemas SIEM externos para correlacionarlos, realizar análisis de riesgos y efectuar auditorías retrospectivas cuando sea necesario.
- Utilizar procesos de autenticación equivalentes a la autenticación multifactor, como la vinculación de dispositivos o la autenticación biométrica.
- Realizar una evaluación de riesgos antes de aprobar excepciones y almacenar la evidencia de dichas excepciones en forma de informes de aprobación de excepciones para cumplir las políticas.
Cómo puede ayudar Thales:
- Proteger las claves criptográficas en hardware validado por FIPS y con evidencia de manipulación.
- Cifrar las claves con una clave AES de 256 bits de un solo uso y enviarlas a través de una conexión TLS con autenticación mutua.
- Adoptar un cifrado transparente y continuo que proteja frente al acceso no autorizado de usuarios y procesos en entornos físicos, virtuales y en la nube.
- Emplear protocolos de cifrado sólidos y basados en estándares, como el Estándar de Cifrado Avanzado (AES) para el cifrado de datos y la criptografía de curva elíptica (ECC) para el intercambio de claves.
Cómo puede ayudar Thales:
- Admitir algoritmos criptográficos como Advanced Encryption Standard (AES) de 256 bits, RSA de 3072 bits y estar preparado para una actualización poscuántica que permita mantener la «cripto-agilidad».
- Gestionar las claves de cifrado, proporcionar controles de acceso granulares y configurar políticas de seguridad.
- Centralizar la gestión del ciclo de vida de las claves, incluidas la generación, la rotación, la destrucción, la importación y la exportación.
- Garantizar un borrado seguro eliminando las claves de CipherTrust Manager y destruyendo digitalmente todas las instancias de los datos.
- Proteger las claves criptográficas en un entorno conforme a FIPS 140-3 de nivel 3.
- Realizar copias de seguridad y duplicar con facilidad las claves criptográficas sensibles de forma segura en el HSM de copia de seguridad con certificado FIPS 140-3 de nivel 3.
- Gestionar y proteger todos los secretos y las credenciales sensibles.
Cómo puede ayudar Thales:
- Hacer cumplir la separación de funciones entre sus datos y las partes externas, así como con su proveedor de servicios en la nube, almacenando de forma segura las claves de cifrado fuera de la nube correspondiente.
- Automatizar la gestión del ciclo de vida de las claves en múltiples nubes y entornos híbridos mediante procesos y herramientas.
- Habilitar la gestión de las relaciones con proveedores, socios o cualquier usuario externo, con una delegación clara de los derechos de acceso.
- Minimizar los privilegios mediante el uso de autorización de acceso granular basada en relaciones.
Soluciones:
Seguridad de los datos
Administración de claves en la nube
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Detectar y prevenir las ciberamenazas con un cortafuegos para aplicaciones web, garantizando la continuidad operativa y una mayor tranquilidad.
- Proteger el rendimiento y la integridad de la red TIC frente a ataques DDoS y bots maliciosos, sin interrumpir el tráfico legítimo.
Cómo puede ayudar Thales:
- Controlar y gestionar el acceso a los sistemas de TI desde redes externas (teletrabajo), al ser compatible con la autenticación multifactor (MFA) y autenticación basada en riesgos.
- Establecer políticas para que los administradores aprueben las conexiones desde redes externas y mostrar los resultados como informes de actividad de acceso remoto.
- Gestionar las políticas de acceso para dispositivos móviles, comprobando la instalación de parches de seguridad y la configuración del dispositivo, e imponiendo las políticas de antivirus y antimalware.
- Comprobar los dispositivos antes de conceder acceso a los sistemas de TI en los casos en que se permite a los empleados utilizar dispositivos propios (BYOD), por ejemplo, impidiendo conexiones desde dispositivos «rooteados» o con «jailbreak» y obligando a instalar programas antimalware actualizados para evitar amenazas procedentes de dispositivos personales.
Soluciones:
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Registrar los datos de uso de los registros de auditoría y enviar dichos datos al sistema SIEM.
Cómo puede ayudar Thales:
- Gestionar la autenticación y el control de acceso al ser compatible con la autenticación multifactor y el inicio de sesión único (SSO) y al mostrar los informes de registro de acceso.
- Registrar el acceso al sistema de base de datos y detectar los intentos de inicio de sesión en el sistema de base de datos.
- Gestionar la autenticación y el control de acceso al ser compatible con la autenticación multifactor y almacenar registros de acceso con visualización de informes.
- Registrar los cambios en la estructura de la base de datos (registro del esquema de la base de datos) y en los datos de las tablas importantes, que pueden mostrarse como una tabla de registro de acceso y en un informe.
- Generar registros de auditoría e informes de todos los eventos de acceso a todos los sistemas, y transmitir los registros a sistemas SIEM externos.
- Proporcionar control y auditar el acceso a los canales de comunicación electrónicos mediante la gestión de derechos de acceso (autorización externalizada) y la generación de informes de registro de auditoría.
Soluciones:
Seguridad de los datos
Supervisión de la actividad de los datos
Supervisión de la actividad de los archivos
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Ofrecer control y auditar el acceso a los datos personales (control de acceso a los datos personales) al ser compatible con la configuración de políticas de acceso contextualizadas (control de acceso adaptativo) que se ajusten al nivel de riesgo del usuario.
- Implementar la autenticación multifactor (MFA) para usuarios que accedan a datos personales sensibles o desde nuevos dispositivos o ubicaciones.
- Definir políticas de prevención (políticas de acceso) para acceder a datos sensibles fuera del horario laboral o desde redes que no sean de confianza.
- Detectar y alertar a los administradores si se detectan intentos de acceso anómalos, de modo que puedan responder con rapidez.
- Permitir la creación de informes de registro de auditoría de todos los accesos para su auditoría e investigación en caso de incidente.
Cómo puede ayudar Thales:
- Establecer los derechos de acceso al registro del sistema únicamente para personas autorizadas según las funciones y las políticas de la organización (control de acceso basado en funciones).
- Controlar en detalle la asignación de accesos a los registros para su auditoría.
- Aplicar la autenticación multifactor (MFA) para los administradores que necesiten acceder a los registros, a fin de aumentar la seguridad.
- Ofrecer derechos estrictos de acceso a los registros de auditoría mediante control de acceso adaptativo para evitar accesos no autorizados y crear registros de auditoría para auditorías retrospectivas.
Soluciones:
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Detectar las amenazas del sistema con cortafuegos para aplicaciones web, seguridad de API y seguridad de bases de datos y transmitir los registros al sistema SIEM.
- Supervisar la actividad de la API, realizar un seguimiento del uso, detectar anomalías e identificar posibles intentos de acceso no autorizado.
- Proteger los activos críticos de la red frente a ataques DDoS y bots maliciosos, sin interrumpir el tráfico legítimo.
- Aplicar medidas de seguridad contextuales basadas en la puntuación de riesgos.
Cómo puede ayudar Thales:
- Alertar o bloquear en tiempo real los ataques a las bases de datos y las solicitudes de acceso anómalas.
- Supervisar la actividad de los archivos a lo largo del tiempo para establecer alertas sobre actividades que puedan poner en riesgo a las instituciones financieras.
- Supervisar continuamente los procesos para detectar actividad anómala de E/S y alertar o bloquear la actividad maliciosa.
- Supervisar los procesos activos para detectar ransomware, identificando actividades como el acceso excesivo a datos, la exfiltración, el cifrado no autorizado o la suplantación maliciosa de un usuario, y alertar o bloquear cuando se detecte dicha actividad.
Cómo puede ayudar Thales:
- Ofrecer capacidades avanzadas de verificación de API para reforzar las defensas contra posibles vulnerabilidades.
Cómo puede ayudar Thales:
- Llevar a cabo pruebas de evaluación en repositorios de datos como MySQL o similares para buscar vulnerabilidades conocidas.
- Escanear las bases de datos con más de 1500 pruebas de vulnerabilidad predefinidas basadas en los puntos de referencia CIS y PCI-DSS para mantenerlas protegidas frente a las amenazas más recientes.
Cómo puede ayudar Thales:
- Reducir el riesgo ante terceros manteniendo el control en los entornos locales sobre las claves de cifrado que protegen los datos alojados en la nube.
- Garantizar una separación completa de funciones entre los administradores del proveedor de la nube y su empresa, y restringir el acceso a los datos sensibles.
- Supervisar y alertar de anomalías para detectar y evitar que actividades no deseadas perturben las actividades de la cadena de suministro.
- Habilitar la gestión de las relaciones con proveedores, socios o cualquier usuario externo, con una delegación clara de los derechos de acceso.
- Minimizar los privilegios mediante el uso de autorización de acceso granular basada en relaciones.
Recursos relacionados
Otras normativas clave en materia de protección de datos y seguridad
PCI HSM
MANDATO | EN VIGOR
La especificación PCI HSM define un conjunto de estándares de cumplimiento de seguridad lógica y física para los HSM, específicamente orientados al sector de los pagos. La certificación de cumplimiento PCI HSM depende del cumplimiento de dichos estándares.
DORA
REGLAMENTO | EN VIGOR
DORA tiene como objetivo reforzar la seguridad informática de las entidades financieras para garantizar que el sector financiero en Europa sea resiliente frente al creciente volumen y gravedad de los ciberataques.
Leyes de notificación de brechas de datos
REGLAMENTO | EN VIGOR
Los requisitos de notificación de brechas de datos tras la pérdida de información personal han sido promulgados por países de todo el mundo. Varían según la jurisdicción, pero casi universalmente incluyen una cláusula de «puerto seguro».
GLBA
REGLAMENTO | EN VIGOR
La Ley Gramm-Leach-Bliley (GLBA), también conocida como la Ley de Modernización de los Servicios Financieros de 1999, exige que las instituciones financieras expliquen a sus clientes sus prácticas de intercambio de información y protejan los datos sensibles.