Conformité de la sécurité des données avec la Directive sur la sécurité des TIC
au Bangladesh

Présentation de la réglementation

La Directive sur la sécurité des TIC s’applique aux banques, aux instituts financiers non bancaires (IFNB), aux prestataires de services financiers mobiles (PSFM), aux prestataires de services de paiement (PSP), aux opérateurs de systèmes de paiement (OSP), aux distributeurs automatiques de billets et aux acquéreurs marchands en marque blanche (DAMMB) et aux autres prestataires de services financiers réglementés par la Banque du Bangladesh.

Cette Directive révisée sur les TIC définit les exigences minimales en matière de contrôle auxquelles chaque organisation doit se conformer. Les principaux objectifs de la Directive sont les suivants :

1. Mettre en place une gouvernance des TIC dans le secteur financier
2. Aider les organisations à élaborer leur propre politique de sécurité des TIC
3. Établir une approche normalisée de la gestion de la sécurité des TIC
4. Aider les organisations à développer une infrastructure TIC sûre et fiable
5. Mettre en place un environnement sécurisé pour le traitement des données
6. Mettre en place une approche holistique de la gestion des risques liés aux TIC
7. Établir une procédure d’analyse de l’impact sur l’entreprise parallèlement à la gestion des risques liés aux TIC
8. Sensibiliser aux rôles et aux responsabilités des parties prenantes en matière de protection de l’information
9. Classer par ordre de priorité les systèmes d’information et de TIC et les risques associés qui doivent être atténués
10. Établir une approche de gestion de projet appropriée pour les projets TIC
11. Garantir les meilleures pratiques (normes industrielles) en matière d’utilisation de la technologie
12. Élaborer un cadre pour le traitement rapide et efficace des incidents liés aux opérations et à la sécurité de l’information
13. Atténuer toute interruption des activités commerciales et protéger les processus commerciaux essentiels contre les effets des défaillances majeures des systèmes d’information ou des catastrophes et assurer une reprise en temps utile
14. Définir les contrôles nécessaires pour protéger les données transmises sur les réseaux de communication
15. Veiller à ce que la sécurité soit intégrée tout au long du cycle de vie des acquisitions, du développement et de la maintenance des systèmes d’information
16. Minimiser les risques de sécurité pour l’infrastructure bancaire électronique, y compris les distributeurs automatiques de billets et les appareils aux points de vente, les cartes de paiement, les services bancaires en ligne, les services financiers mobiles, etc.
17. Sensibiliser et former les utilisateurs associés aux activités TIC pour atteindre les objectifs de l’entreprise
18. Héberger l’utilisation sûre et sécurisée des technologies émergentes

Les exigences détaillées sont présentées dans 13 chapitres.

Thales permet aux banques et aux organisations financières du Bangladesh de s’aligner sur les six chapitres suivants de la Directive sur la sécurité des TIC :

Chapitre 4 : Gestion de la fourniture de services TIC

• CipherTrust Cloud Key Management permet aux organisations de séparer les clés des données stockées dans le cloud, empêchant ainsi l’accès non autorisé aux données par le fournisseur de services cloud. Grâce à la technologie Hold-Your-Own-Key (HYOK), les organisations conservent le contrôle total et la propriété de leurs données en contrôlant l’accès aux clés de chiffrement.
• Protection des données au repos : La solution CipherTrust Data Security Platform offre de multiples fonctionnalités pour protéger les données au repos dans les fichiers, les volumes et les bases de données. Parmi elles, citons : CipherTrust Transparent Encryption et CipherTrust Tokenization.
• Protection des données en transit : La fonctionnalité High Speed Network Encryption (HSE) de Thales offre un chiffrement des données en transit indépendant du réseau (couches 2, 3 et 4), ce qui garantit la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le cloud et inversement.

Chapitre 5 : Gestion de la sécurité des infrastructures

• La solution CipherTrust Data Discovery and Classification permet aux organisations de localiser et de classer efficacement les données réglementées structurées et non structurées à travers de multiples sources de données, conformément aux principales exigences mondiales et régionales en matière de conformité.
• Les solutions High Speed Network Encryption (HSE) de Thales offrent un chiffrement des données en transit/mouvement indépendant du réseau (couches 2, 3 et 4), ce qui garantit la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le cloud et inversement.
• CipherTrust Transparent Encryption fournit un chiffrement des données au repos ne se trouvant pas dans une base de données avec une gestion centralisée des clés, des contrôles d’accès d’utilisateur privilégié et des journaux répertoriant des informations détaillées sur les accès aux données, ce qui aide les organisations à se conformer aux exigences relatives aux bonnes pratiques concernant la protection des données.
• Les modules de sécurité matériels (HSM) protègent les clés de chiffrement et fournissent un environnement renforcé et inviolable de type FIPS 140-2 de niveau 3 pour des opérations cryptographiques (traitement, génération et protection des clés, chiffrement, et bien d’autres) sécurisées. Les HSM Luna sont disponibles sur site, dans le cloud en tant que service, dans des environnements hybrides et permettent de sauvegarder les clés dans des HSM de sauvegarde conformes à la norme FIPS 140-2 de niveau 3.
• Les offres de gestion des clés de Thales rationalisent et renforcent la gestion des clés dans les environnements cloud et d’entreprise sur un ensemble varié de cas d’utilisation. Les outils et solutions de gestion des clés de Thales tirent parti des appliances virtuelles compatibles FIPS 140-2 ou matérielles pour offrir une sécurité élevée aux environnements sensibles et une gestion des clés centralisée pour le chiffrement sur site, ainsi que pour les applications tierces.

Chapitre 9 : Gestion de la continuité des activités

• Les informations sensibles se trouvant sur cassette ou disquette peuvent être sécurisées grâce à CipherTrust Data Security Platform qui garantit que les données sont chiffrées avant d’être stockées et transportées. La gestion des clés de Thales s’intègre avec les principaux fournisseurs de solutions de sauvegarde pour gérer les clés de chiffrement de sauvegarde et séparer les données des clés. Elle sécurise également les données avant qu’elles ne soient sauvegardées et stockées sur le support médiatique amovible.

Chapitre 10 : Acquisition et développement de systèmes d’information

• CipherTrust Secrets Management (CSM) est une solution de gestion des secrets de pointe, optimisée par la plateforme Akeyless, qui protège et automatise l’accès aux secrets critiques à travers les outils DevOps et les charges de travail sur le cloud, y compris les secrets, les informations d’identification, les certificats, les clés API et les tokens.
• CipherTrust Data Protection Gateway offre une protection transparente des données à n’importe quel service web RESTful ou microservice utilisant des API REST.

Chapitre 11 : Sécurité des paiements numériques

• Le HSM PayShield 10k est un module de sécurité matériel (HSM) de paiement utilisé massivement dans l’intégralité de l’écosystème de paiement global par les émetteurs, les prestataires de services, les acquéreurs, les organismes de traitement et les réseaux de paiement. Il joue un rôle fondamental dans la sécurisation des processus d’émission des justificatifs de paiement, d’authentification des utilisateurs, d’authentification des cartes et de protection des données sensibles pour les paiements en face à face et les paiements numériques à distance.

Chapitre 14 : Gestion des technologies émergentes

• Les HSM réseau Luna de Thales sont conçus pour stocker les clés privées utilisées par les membres de la blockchain pour signer toutes les transactions dans un processeur cryptographique dédié FIPS 140-2, niveau 3. Les clés sont stockées tout au long de leur cycle de vie, ce qui garantit qu’aucune personne ni aucun appareil non autorisé(e) ne peut accéder, modifier ou utiliser les clés de chiffrement.