El Consejo Europeo adoptó la Ley de Resiliencia Operativa Digital (DORA) en noviembre de 2022 para mejorar la resistencia de las entidades financieras a los ciberataques. Para ello, DORA racionaliza y armoniza los requisitos de la Unión Europea en materia de seguridad de los sistemas y redes de información de las organizaciones que operan en el sector financiero, así como de terceros proveedores críticos de servicios relacionados con las TIC (Tecnologías de la Información y la Comunicación).
Los principales pilares de la legislación DORA son:
DORA se aplica a una amplia gama de proveedores de servicios financieros, incluidos bancos, entidades de crédito, entidades de pago, entidades de dinero electrónico, empresas de inversión y proveedores de servicios de criptoactivos, entre otros. Pero lo más importante es que DORA define los servicios críticos de TIC prestados a las instituciones financieras. Si una organización es proveedora de servicios de TIC críticos para una institución financiera, estará sujeta a una supervisión reguladora directa en el marco de DORA. Esto incluye, por ejemplo, plataformas en la nube y servicios de análisis de datos.
DORA entró en vigor el 16 de enero de 2023, con un periodo de aplicación de dos años. Se espera que las entidades financieras y sus proveedores de TIC y de servicios cumplan la normativa antes del 17 de enero de 2025.
Las entidades que infrinjan los requisitos de la Ley pueden enfrentarse a multas de hasta el 2 % de su facturación mundial anual total o, en el caso de un particular, a una multa máxima de 1 000 000 de euros. El importe de la multa dependerá de la gravedad de la infracción y de la cooperación de la entidad financiera con las autoridades.
DORA dispone marcos y directrices para la gestión de riesgos destinados a ayudar a crear programas maduros de gestión de riesgos y mejorar la resistencia operativa.
Artículo 8.1:
"...identificar, clasificar y documentar adecuadamente los activos de información..."
CipherTrust Data Discovery and Classification identifica eficazmente los datos confidenciales estructurados y no estructurados en las instalaciones y en la nube. Las plantillas integradas permiten la rápida identificación de datos regulados, resaltan riesgos de seguridad y ayudan a desvelar deficiencias de cumplimiento.
Artículo 9.2:
"...mantener altos niveles de disponibilidad, autenticidad, integridad y confidencialidad de los datos, ya sea en reposo, en uso o en tránsito".
Protección de los datos en reposo:
CipherTrust Data Security Platform ofrece múltiples capacidades para proteger los datos en reposo en archivos, volúmenes y bases de datos. Entre ellas:
Protección de datos en movimiento:
Thales High Speed Encryptors (HSE) ofrecen cifrado de datos en movimiento independiente de la red (Capas 2, 3 y 4) garantizando que los datos estén protegidos al trasladarse de un centro a otro, o desde las instalaciones a la nube o viceversa. Nuestras soluciones de cifrado de red les permiten a los clientes proteger mejor los datos, el vídeo, la voz y los metadatos de la interceptación, la vigilancia y la intercepción abierta y encubierta, sin comprometer el rendimiento. Los HSE de Thales están disponibles tanto en dispositivos físicos como virtuales y soportan un amplio espectro de velocidades de la red, de 10 Mbps a 100 Gbps.
Artículo 9.3, b:
"...minimizar el riesgo de corrupción o pérdida de datos; el acceso no autorizado y los fallos técnicos..."
Los productos y soluciones de gestión de identidades y accesos OneWelcome de Thales limitan el acceso de los usuarios internos y externos en función de sus funciones y contexto. Respaldadas por una autenticación robusta (MFA), las políticas de acceso granular y las políticas de autorización de grano fino ayudan a garantizar que el usuario adecuado tenga acceso al recurso adecuado en el momento adecuado, minimizando así el riesgo de acceso no autorizado.
Artículo 9.4, c:
"...aplicar políticas que limiten el acceso físico y virtual a los recursos y datos del sistema de TIC a lo necesario únicamente para funciones y actividades legítimas y aprobadas, y..."
La plataforma de gestión de identidades OneWelcome de Thales permite a las organizaciones limitar virtual (o lógicamente) el acceso a recursos confidenciales mediante el uso de MFA (incluida la autenticación resistente a la suplantación de identidad) y políticas de acceso granulares. Las tarjetas inteligentes SafeNet IDPrime pueden aprovecharse para implementar el acceso físico a instalaciones sensibles.
El módulo Thales OneWelcome Consent & Preference Management permite a las organizaciones recopilar el consentimiento de los consumidores finales para que las instituciones financieras puedan tener una visibilidad clara de los datos consentidos, lo que les permite gestionar el acceso a los datos que están autorizados a utilizar
Artículo 9.4, d:
"...mecanismos de autenticación robusta..."
"...medidas de protección de claves criptográficas por las que se cifran los datos"
SafeNet Trusted Access es una solución de gestión de acceso basada en la nube que facilita la administración del acceso en servicios de nube y aplicaciones empresariales con una plataforma integrada que combina la autenticación de múltiples factores, el inicio de sesión único y políticas de acceso basadas en casos específicos.
La oferta de administración de claves de Thales optimiza y fortalece la administración de claves en entornos de nube y empresariales en un diverso conjunto de casos de uso.
Los Hardware Security Modules (HSM) protegen las claves criptográficas y proporcionan un entorno fortalecido FIPS 140-2 de nivel 3 y resistente a manipulaciones indebidas para un procesamiento criptográfico seguro, generación y protección de claves, cifrado y más.
Artículo 10.1:
"...detectar actividades anómalas... controlar la actividad de los usuarios..."
CipherTrust Transparent Encryption los registros y los informes optimizan los informes de cumplimiento y aceleran la detección de amenazas mediante los principales sistemas de información de seguridad y SIEM externos.
La extensión CipherTrust Transparent Encryption Ransomware Protection detecta actividades de identificación de ransomware (acceso excesivo a datos, exfiltración, cifrado no autorizado o suplantación de identidad con acciones maliciosas).
SafeNet Trusted Access permite a las organizaciones responder y mitigar el riesgo de filtración de datos proporcionando una pista de auditoría inmediata y actualizada de todos los eventos de acceso a todos los sistemas.
DORA hace hincapié en la necesidad de gestionar el riesgo de los proveedores de servicios TIC a terceros y en la necesidad de que las entidades financieras cuenten con "Estrategias de salida"
Thales ayuda a las organizaciones a reducir los riesgos de terceros aprovechando la gestión de claves y el cifrado para aplicar una estricta separación de funciones entre las instituciones financieras y los proveedores terceros y mantener la portabilidad de las cargas de trabajo a otros proveedores cuando sea necesario.
Artículo 28.8:
"Para los servicios TIC [de terceros] que respalden funciones críticas o importantes, las entidades financieras establecerán estrategias de salida"
"...medidas de protección de claves criptográficas por las que se cifran los datos"
CipherTrust Cloud Key Manager puede reducir los riesgos de terceros manteniendo in situ, bajo el pleno control de la entidad financiera, las claves que protegen los datos confidenciales alojados por terceros proveedores en la nube bajo sistemas "Bring Your Own Keys" (BYOK).
CipherTrust Transparent Encryption proporciona una separación completa de roles administrativos en la que solo los usuarios y procesos autorizados pueden ver los datos no cifrados.
Las soluciones de seguridad de datos de Thales ofrecen la gama más completa de protección de datos, como Thales Data Protection on Demand (DPoD) que proporciona alta disponibilidad y copia de seguridad incorporadas a sus servicios basados en la nube Luna Cloud HSM y CipherTrust Key Management, hasta los dispositivos de cifrado de red HSE que ofrecen opciones de reducción a cero.
Thales helps organizations comply with DORA by addressing essential requirements for risk management and managing third party risk. Thales helps organizations by: Identifying and classifying sensitive data for risk assessment Protecting data at rest, in use, and in motion...
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
El RGPD es tal vez la norma de privacidad de datos más completa hasta la fecha. Afecta a cualquier organización que procese los datos personales de los ciudadanos de la UE, independientemente de la ubicación de la sede de la organización.
Cualquier organización que desempeñe un papel en el procesamiento de pagos con tarjetas de crédito y débito debe cumplir con los estrictos requisitos de cumplimiento de PCI DSS para el procesamiento, el almacenamiento y la transmisión de datos de cuentas.
Los países de todo el mundo han promulgado requisitos de notificación de brechas de datos tras la pérdida de información personal. Varían según la jurisdicción, pero casi siempre incluyen una cláusula de "safe harbour".
