Les directives relatives à la supervision et la gestion des risques informatiques des compagnies d’assurance-vie BE 2563 (2020) (หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสน เทศของบริษัทประกันชีวิต พ.ศ. ๒๕๖๓) ont été émises par l’Office of Insurance Commission (OIC) de Thaïlande pour renforcer la gestion des risques informatiques dans le secteur de l’assurance-vie.
Quelles sont les directives de l’OIC relatives à la supervision et la gestion des risques informatiques ?
- Garantir la sécurité et la stabilité des opérations TI dans les compagnies d’assurance-vie
- Atténuer les risques liés aux cybermenaces, aux violations de données et aux défaillances des systèmes
- Se conformer aux normes internationales
- Améliorer la conformité réglementaire et la protection des consommateurs
- Toutes les compagnies d’assurance-vie enregistrées en Thaïlande
- Fournisseurs de services tiers (gérant les systèmes informatiques et les données pour les assureurs)
6 catégories : gouvernance informatique, gestion de projets informatiques, sécurité informatique, gestion des risques informatiques, conformité informatique, audit informatique, gouvernance et gestion des risques en matière de cyber-sécurité et signalement des incidents liés aux cybermenaces.
NOTE DE CONFORMITÉ
Se conformer aux directives de l’OIC de Thaïlande relatives à la supervision et la gestion des risques informatiques
Découvrez comment les assureurs se conforment aux directives relatives à la supervision et la gestion des risques informatiques grâce à nos solutions complètes de cyber-sécurité et apprenez-en davantage sur les exigences.
Comment Thales contribue à la conformité aux directives de l’OIC de Thaïlande relatives à la supervision et la gestion des risques informatiques
Les solutions de cyber-sécurité de Thales aident les entreprises à aborder deux catégories : la sécurité informatique et la gouvernance et la gestion des risques en matière de cyber-sécurité, en simplifiant la conformité et en automatisant la sécurité grâce à une visibilité et un contrôle accrus, réduisant ainsi la charge de travail des équipes de sécurité et de conformité.
Solutions de conformité aux directives de l’OIC
Sécurité des applications
Protégez vos applications et API à grande échelle, que ce soit dans le cloud, sur site ou dans un modèle hybride. Notre gamme de produits, leader sur le marché, comprend un pare-feu d’applications Web (WAF), une protection contre les attaques par déni de service distribué (DDoS) et les attaques de bots malveillants.
Sécurité des données
Découvrez et classez les données sensibles au sein d’environnements TI hybrides et protégez-les automatiquement où qu’elles soient, qu’elles soient au repos, en transit ou en cours d’utilisation, grâce au chiffrement, à la tokénisation et à la gestion de clé. Les solutions de Thales permettent également d’identifier, d’évaluer et de hiérarchiser les risques potentiels pour une évaluation précise des risques, ainsi que d’identifier les comportements anormaux et de surveiller l’activité pour vérifier la conformité, permettant ainsi aux entreprises de concentrer leurs efforts sur les domaines prioritaires.
Gestion des identités et des accès
Fournissez un accès fluide, sécurisé et fiable aux applications et services numériques pour les clients, les employés et les partenaires. Nos solutions limitent l’accès des utilisateurs internes et externes en fonction de leurs rôles et du contexte grâce à des politiques d’accès granulaires et à une authentification multifacteur qui contribuent à garantir que le bon utilisateur ait accès à la bonne ressource au bon moment.
Respecter les directives de l’OIC relatives à la supervision et la gestion des risques informatiques
Comment Thales vous aide :
- Identifiez les données sensibles structurées et non structurées à risque dans un environnement TI hybride.
- Identifiez l’état actuel de la conformité et documentez les lacunes.
- Découvrez et classez les risques potentiels pour toutes les API publiques, privées et cachées.
- Classifiez et attribuez des niveaux de sensibilité spécifiques aux données lors de la définition de vos magasins de données et de vos profils de classification pour différents types d’ensembles de données.
Solutions :
Sécurité des applications
Sécurité des données
Comment Thales vous aide :
- Limitez l’accès des utilisateurs internes et externes aux systèmes et aux données en fonction de leurs rôles et du contexte, à l’aide de politiques.
- Appliquez des mesures de sécurité contextuelles basées sur l’évaluation des risques.
- Centralisez les politiques d’accès et leur application à plusieurs environnements hybrides depuis une interface de gestion unique.
- Unifiez les opérations de gestion de clé grâce au contrôle d’accès basé sur les rôles.
- Proposez une authentification multifacteur (MFA) pour garantir que les personnes accédant au système y sont réellement autorisées.
- Utilisez l’authentification unique (SSO) pour permettre aux utilisateurs d’accéder en toute sécurité à plusieurs systèmes avec une seule authentification.
- Configurez des politiques d’accès basées sur les rôles, les responsabilités et les risques des utilisateurs (contrôle d’accès reposant sur des politiques).
- Stockez les journaux d’accès pour faciliter les audits rétrospectifs.
- Chiffrez les données au repos et en transit (chiffrement des données au repos et en transit) pour empêcher tout accès non autorisé.
Solutions :
Sécurité des applications
Sécurité des données
Surveillance de l’activité des données
Surveillance de l’activité des fichiers
Gestion des identités et des accès
Gestion déléguée des utilisateurs
Comment Thales vous aide :
- Déployez un chiffrement transparent et continu protégeant contre les accès non autorisés des utilisateurs et des processus dans les environnements physiques, virtuels et cloud.
- Pseudonymisez les informations sensibles dans les bases de données afin d’éviter l’exposition de données réelles pour les tests.
- Protégez les clés cryptographiques dans un matériel inviolable et conforme à la norme FIPS 140-3 niveau 3.
- Chiffrez les clés avec une clé AES-256 à usage unique et envoyez-les via une connexion TLS à authentification mutuelle.
- Produits de sécurité conçus pour une mise à niveau post-quantique afin de maintenir l’agilité cryptographique.
Solutions :
Sécurité des données
Comment Thales vous aide :
- Activez l’authentification multifacteur (MFA) pour les utilisateurs à distance afin de garantir que l’accès est autorisé.
- Fournissez une gestion des droits d’utilisateur pour le système de réseau privé virtuel (VPN) afin d’empêcher l’accès à partir d’appareils non autorisés.
- Proposez des politiques d’accès à distance pour contrôler uniquement les utilisateurs préalablement approuvés.
- Stockez les journaux d’accès à distance pour faciliter les audits rétrospectifs.
- Chiffrez les données envoyées via des connexions à distance (chiffrement des données en transit) afin d’empêcher l’interception des données pendant la communication.
Solutions :
Gestion des identités et des accès
Gestion des fraudes et des risques
Comment Thales vous aide :
- Détectez et prévenez les cybermenaces grâce à un pare-feu d’applications web, garantissant un fonctionnement sans faille et une tranquillité d’esprit.
- Protégez les actifs réseau critiques contre les attaques DDoS et les bots malveillants, tout en continuant à autoriser le trafic légitime.
- Assurez un temps de disponibilité optimal grâce à une atténuation rapide et efficace des attaques DDoS et un SLA de 3 secondes pour les attaques des couches 3 et 4.
- Protégez-vous contre les attaques exploitant la logique commerciale et bien d’autres menaces figurant parmi les dix principales menaces des API de l’OWASP.
- Assurez une protection continue de toutes les API à l’aide d’une découverte et d’une classification approfondies pour détecter toutes les API publiques, privées et cachées.
- Obtenez une visibilité complète sur les activités liées aux données sensibles, suivez les personnes qui y ont accès, auditez leurs actions et documentez-les.
- Identifiez les activités d’accès aux données à risque pour tous les utilisateurs, y compris les utilisateurs privilégiés.
- Protégez les données grâce à des alertes en temps réel ou au blocage de l’accès des utilisateurs en cas de violation des politiques.
- Offrez plus de transparence et de contexte sur l’état des risques liés à vos données en consolidant les indicateurs de risque, en localisant les zones à risque et en fournissant des scores de risque transparents et personnalisables.
Solutions :
Sécurité des applications
Protection contre les attaques DDoS
Sécurité des données
Surveillance de l’activité des données
Analyse des risques liés aux données
Comment Thales vous aide :
- Effectuez des tests d’évaluation sur des magasins de données tels que MySQL pour rechercher les vulnérabilités connues.
- Analysez vos bases de données avec plus de 1 500 tests de vulnérabilité prédéfinis, basés sur les référentiels CIS et PCI-DSS, afin de vous aider à les protéger contre les menaces les plus récentes.
Ressources associées
Autres réglementations clés en matière de protection et de sécurité des données
PCI HSM
MANDAT | EN VIGUEUR
La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, spécifiquement destinées au secteur des paiements. La certification de conformité à la spécification PCI HSM dépend du respect de ces normes.
DORA
RÉGLEMENTATION | EN VIGUEUR
Le règlement DORA vise à renforcer la sécurité informatique des entités financières afin de garantir la résilience du secteur financier en Europe face à l’augmentation du volume et de la gravité des cyberattaques.
Lois sur la notification des violations de données
RÉGLEMENTATION | EN VIGUEUR
Des exigences de notification en cas de violation de données ont été promulguées par des pays du monde entier suite à la perte d’informations personnelles. Elles varient en fonction des juridictions, mais comprennent presque toutes une clause de « clause d’exonération » (safe harbor).
GLBA
RÉGLEMENTATION | EN VIGUEUR
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act (Loi sur la modernisation des services financiers) de 1999, exige des institutions financières qu’elles expliquent à leurs clients leurs pratiques en matière d’échange d’informations et protègent les données sensibles.