Cómo ayudan las soluciones de Thales a cumplir la GLBA
La Ley Gramm-Leach-Bliley (GLBA), también conocida como Ley de Modernización de los Servicios Financieros de 1999, obliga a las entidades financieras a explicar a sus clientes sus prácticas de intercambio de información y a salvaguardar los datos sensibles. El objetivo principal es prevenir y mitigar las ciberamenazas. La Norma de Salvaguardias de la Comisión Federal de Comercio (FTC) exige a las empresas cubiertas que desarrollen, apliquen y mantengan un programa de seguridad de la información con salvaguardias administrativas, técnicas y físicas diseñadas para proteger la información de los clientes.
La GLBA se compone de tres normas principales relativas a la privacidad y protección de los datos sensibles de los consumidores que obran en poder de las entidades financieras:
La GLBA se aplica a una amplia gama de empresas clasificadas como instituciones financieras. La FTC explica que la GLBA se aplica a "todas las empresas, independientemente de su tamaño, que se dediquen de forma significativa a ofrecer productos o servicios financieros". Esto incluye no solo a las empresas que ofrecen productos o servicios financieros como préstamos, asesoramiento financiero o seguros, sino también a las que ofrecen servicios de tasación, corretaje y administración de préstamos, cambio de cheques, préstamos de día de pago, servicios de mensajería, préstamos no bancarios y servicios de preparación de impuestos, entre otros.
La Ley Gramm-Leach-Bliley fue promulgada por el Congreso en 1999 y está en plena vigencia. Principalmente, la FTC hace cumplir la normativa, aunque otros organismos federales, como la Junta de la Reserva Federal y la FDIC, y los gobiernos estatales son responsables de regular a los proveedores de seguros.
Una institución financiera que infrinja la GLBA puede enfrentarse a multas de 100 000 dólares por cada infracción. Sus agentes y directores pueden ser multados con hasta 10 000 dólares por cada infracción y ser encarcelados durante cinco años o ambas cosas.
Thales ayuda a las organizaciones a cumplir la GLBA abordando los requisitos esenciales para salvaguardar la información de los clientes.
La Norma de Salvaguardias de GLBA exige el desarrollo, la implementación y el mantenimiento de un programa de seguridad de la información con salvaguardias administrativas, técnicas y físicas diseñadas para proteger la información de los clientes.
Parte 314. b:
"evaluación de riesgos que identifique (...) los riesgos para la seguridad de la información de los clientes"
CipherTrust Data Discovery and Classification identifica eficazmente los datos confidenciales estructurados y no estructurados en las instalaciones y en la nube. Las plantillas integradas permiten la rápida identificación de datos regulados, resaltan riesgos de seguridad y ayudan a desvelar deficiencias de cumplimiento.
Parte 314. c.1:
"Implantar y revisar periódicamente controles de acceso. Determinar quién tiene acceso a la información de los clientes y reconsiderar periódicamente si sigue teniendo una necesidad empresarial legítima para ello".
Las soluciones de gestión de identidades y accesos OneWelcome de Thales limitan el acceso de los usuarios internos y externos en función de sus funciones y contexto. Respaldadas por una autenticación robusta (MFA), las políticas de acceso granular y las políticas de autorización de grano fino ayudan a garantizar que el usuario adecuado tenga acceso al recurso adecuado en el momento adecuado, minimizando así el riesgo de acceso no autorizado.
El módulo Thales OneWelcome Consent & Preference Management permite a las organizaciones recopilar el consentimiento de los consumidores finales para que las instituciones financieras puedan tener una visibilidad clara de los datos consentidos, lo que les permite gestionar el acceso a los datos que están autorizados a utilizar.
CipherTrust Transparent Encryption cifra los datos sensibles y refuerza las políticas detalladas de gestión de usuarios con acceso a información privilegiada que se pueden aplicar por usuario, proceso, tipo de archivo, hora y otros parámetros. Proporciona una separación completa de roles en la que solo los usuarios y procesos autorizados pueden ver los datos no cifrados.
Parte 314. c.3:
"Proteger mediante cifrado toda la información de los clientes que posea o transmita tanto en tránsito por redes externas como en reposo"
Protección de los datos en reposo:
CipherTrust Data Security Platform ofrece múltiples capacidades para proteger los datos en reposo en archivos, volúmenes y bases de datos. Entre ellas:
Proteger claves y certificados:
Los Luna Hardware Security Modules (HSM) protegen las claves criptográficas y proporcionan un entorno fortalecido FIPS 140-2 de nivel 3 y resistente a manipulaciones indebidas para un procesamiento criptográfico seguro, generación y protección de claves, cifrado y más. Luna HSMs están disponibles en las instalaciones, en la nube como servicio y en entornos híbridos.
Protección de datos en movimiento:
Thales High Speed Encryptors (HSE) ofrecen cifrado de datos en movimiento independiente de la red (Capas 2, 3 y 4) garantizando que los datos estén protegidos al trasladarse de un centro a otro, o desde las instalaciones a la nube o viceversa. Nuestras soluciones de cifrado de red les permiten a los clientes proteger mejor los datos, el vídeo, la voz y los metadatos de la interceptación, la vigilancia y la intercepción abierta y encubierta, sin comprometer el rendimiento.
Parte 314. c, 4:
"Adoptar prácticas de desarrollo seguras para aplicaciones desarrolladas internamente"
CipherTrust Platform Community Edition que facilita a DevSecOps la implementación de controles de protección de datos en aplicaciones híbridas y multinube. La solución incluye licencias para CipherTrust Manager Community Edition, Data Protection Gateway y CipherTrust Transparent Encryption for Kubernetes.
CipherTrust Secrets Management es una solución de gestión de secretos de última generación que protege y automatiza el acceso a secretos a través de herramientas DevOps y cargas de trabajo en la nube, incluidos secretos, credenciales, certificados, claves API y tokens.
Parte 314. c, 5:
"Implementación de la autenticación multifactor..."
SafeNet Trusted Access es una solución de gestión de accesos basada en la nube que proporciona autenticación multifactor comercial lista para usar con la más amplia gama de métodos y factores de forma de autenticación de hardware y software.
Parte 314. c, 8:
"Mantener un registro de la actividad de los usuarios autorizados y vigilar los accesos no autorizados"
Todas las soluciones de seguridad de datos de Thales mantienen amplios registros de acceso e impiden el acceso no autorizado. En particular, CipherTrust Transparent Encryption los registros y los informes optimizan los informes de cumplimiento y aceleran la detección de amenazas mediante los principales sistemas de información de seguridad y SIEM externos.
SafeNet Trusted Access permite a las organizaciones responder y mitigar el riesgo de filtración de datos proporcionando una pista de auditoría inmediata y actualizada de todos los eventos de acceso a todos los sistemas.
Parte 314. f, 2:
"Supervisar a los proveedores de servicios, mediante: La obligación por contrato a sus proveedores de servicios de aplicar y mantener dichas salvaguardas..."
CipherTrust Cloud Key Manager puede reducir los riesgos de terceros manteniendo in situ, bajo el pleno control de la entidad financiera, las claves que protegen los datos confidenciales alojados por terceros proveedores en la nube bajo sistemas "Bring Your Own Keys" (BYOK).
CipherTrust Transparent Encryption proporciona una separación completa de roles administrativos en la que solo los usuarios y procesos autorizados pueden ver los datos no cifrados. A menos que se proporcione una razón válida para acceder a los datos, los datos sensibles almacenados en una nube de terceros no serán accesibles en texto claro a usuarios no autorizados.
Las soluciones de seguridad de datos de Thales ofrecen la gama más completa de protección de datos, como Thales Data Protection on Demand (DPoD) que proporciona alta disponibilidad y copia de seguridad incorporadas a sus servicios basados en la nube Luna Cloud HSM y CipherTrust Key Management, hasta los dispositivos de cifrado de red HSE que ofrecen opciones de reducción a cero.
Thales helps organizations comply with GLBA by addressing essential requirements for safeguarding customer information: Identifying and classifying sensitive customer data for risk assessment Controlling and monitoring access to sensitive data Protecting data at...
This eBook covers some of the most important regulations affecting Financial Services organizations in the United States and how Thales cybersecurity solutions help meet requirements for risk management, data privacy, access management and much more. Included regulations:...
El RGPD es tal vez la norma de privacidad de datos más completa hasta la fecha. Afecta a cualquier organización que procese los datos personales de los ciudadanos de la UE, independientemente de la ubicación de la sede de la organización.
Cualquier organización que desempeñe un papel en el procesamiento de pagos con tarjetas de crédito y débito debe cumplir con los estrictos requisitos de cumplimiento de PCI DSS para el procesamiento, el almacenamiento y la transmisión de datos de cuentas.
Los países de todo el mundo han promulgado requisitos de notificación de brechas de datos tras la pérdida de información personal. Varían según la jurisdicción, pero casi siempre incluyen una cláusula de "safe harbour".
