Cumplimiento de las directrices de gestión de riesgos tecnológicos (TRM) de la Autoridad Monetaria de Singapur (MAS)

Descripción general de la regulación

La Autoridad Monetaria de Singapur (MAS) publicó la Guía de Gestión de Riesgos Tecnológicos (TRM) para ayudar a las empresas financieras a establecer una gestión sólida de riesgos tecnológicos, fortalecer la seguridad del sistema y salvaguardar datos y transacciones confidenciales.

La TRM contiene declaraciones de las mejores prácticas de la industria que se espera que adopten las instituciones financieras que realizan negocios en Singapur. La Autoridad Monetaria de Singapur (MAS) deja en claro que, si bien los requisitos de TRM no son legalmente vinculantes, serán un punto de referencia que MAS utiliza para evaluar el riesgo de las instituciones financieras.

Descripciones de la Guía

• 8.4.4 El FI debe cifrar las cintas y los discos de respaldo, incluidos los discos USB, que contengan información sensible o confidencial antes de transportarlos fuera del sitio para su almacenamiento.
• 9.1.6 La información confidencial almacenada en sistemas de TI, servidores y bases de datos debe cifrarse y protegerse mediante estrictos controles de acceso, teniendo en cuenta el principio de "privilegio mínimo".
• 11.0.1.c Principio de control de acceso: El FI solo debe otorgar derechos de acceso y privilegios del sistema en función de la responsabilidad del trabajo y la necesidad de tenerlos para cumplir con sus deberes. El FI deberá comprobar que ninguna persona, en virtud de su rango o puesto, tenga ningún derecho intrínseco de acceder a datos, aplicaciones, recursos del sistema o instalaciones confidenciales.
• 11.1.1 El FI solo debe otorgar acceso de usuario a los sistemas y redes de TI cuando sea necesario y dentro del período en que se requiera el acceso. El FI debe asegurarse de que el propietario del recurso autorice y apruebe debidamente todas las solicitudes para acceder a los recursos de TI.
• 11.2 Gestión de acceso a usuarios privilegiados.
• 11.2.3.d. Otorgar acceso privilegiado según sea necesario.
• 11.2.3.e. Mantener el registro de auditoría de las actividades del sistema realizadas por usuarios con acceso a información privilegiada.
• 11.2.3.f. No permitir que los usuarios con aceso a información privilegiada accedan a los registros del sistema en los que se capturan sus actividades.
• Seguridad de 13 tarjetas de pago (cajeros automáticos, tarjetas de crédito y débito).

Thales puede ayudarle a su organización a evitar que se produzcan brechas de datos desde el principio mediante:

• Control de acceso para garantizar que solo los usuarios con credenciales tengan acceso a sus sistemas y datos
• Cifrado, tokenización y administración de claves criptográficas para garantizar que, si se roban datos, no tengan sentido e inutilidad para los ciberdelincuentes.
• Registros de inteligencia de seguridad para identificar patrones de acceso no autorizado y brechas en progreso

Gestión de accesos y autenticación robustas

Las soluciones de autenticación y administración de acceso de Thales brindan los mecanismos de seguridad y las capacidades de generación de informes que necesitan las organizaciones para cumplir con las regulaciones de seguridad de datos. Nuestras soluciones protegen los datos confidenciales mediante la aplicación de los controles de acceso adecuados, cuando los usuarios inician sesión en aplicaciones que almacenan datos confidenciales. Al admitir una amplia gama de métodos de autenticación y acceso basado en roles impulsado por políticas, nuestras soluciones ayudan a las empresas a mitigar el riesgo de brechas de datos debido a credenciales comprometidas o robadas, o mediante el abuso de credenciales internas.

La compatibilidad con el inicio de sesión único inteligente y la autenticación intensificada les permite a las organizaciones optimizar la comodidad para los usuarios finales, asegurando que solo tengan que autenticarse cuando sea necesario. Los informes extensos le permiten a las empresas producir un registro de auditoría detallado de todos los eventos de acceso y autenticación, lo que garantiza que puedan demostrar el cumplimiento de una amplia gama de regulaciones.

La plataforma CipherTrust Data Security Platform

La CipherTrust Data Security Platform de Thales es la única solución con un esquema único extensible para proteger los datos en reposo bajo los diversos requisitos de las empresas en la más amplia gama de plataformas de sistemas operativos, bases de datos, entornos de nube e implementaciones de Big Data. El resultado es un bajo costo total de propiedad, así como una implementación y operación simples y eficientes.

• CipherTrust Transparent Encryption proporciona cifrado de datos en reposo a nivel de volumen y archivo, administración segura de claves y controles de acceso requeridos por las regulaciones y los regímenes de cumplimiento.
• CipherTrust Key Management permite la gestión centralizada de claves de cifrado para otros entornos y dispositivos, incluido el hardware compatible con KMIP, claves maestras TDE de Oracle y SQL Server, así como certificados digitales.
• CipherTrust Security Intelligence proporciona otro nivel de protección contra personas internas malintencionadas, usuarios privilegiados, APTs y otros ataques que comprometen los datos al proporcionar la información del patrón de acceso que puede identificar un incidente en curso.
• CipherTrust Application Data Protection les permite a las empresas crear fácilmente capacidades de cifrado en aplicaciones internas a nivel de campo y columna.
• CipherTrust Tokenization les permite a los administradores establecer políticas para devolver un campo completo tokenizado o enmascarar dinámicamente partes de un campo. Con las capacidades de tokenización de la solución que preservan el formato, usted puede restringir el acceso a activos confidenciales y, al mismo tiempo, formatear los datos protegidos de una manera que les permita a muchos usuarios hacer su trabajo.

Cifrado de alta velocidad de Thales

Los cifradores de alta velocidad de Thales ofrecen cifrado de datos en movimiento independiente de la red (Capas 2, 3 y 4) garantizando que los datos estén protegidos conforme se trasladan de un centro a otro, o desde las instalaciones a la nube o viceversa. Nuestras soluciones de HSE les permiten a los clientes proteger mejor los datos, el video, la voz y los metadatos de la interceptación, la vigilancia y la intercepción abierta y encubierta, todo a un costo asequible y sin comprometer el rendimiento.