Respecter les directives en matière de gestion des risques associés à la technologie de l’Autorité monétaire de Singapour

Présentation de la réglementation

L’Autorité monétaire de Singapour a publié des directives en matière de gestion des risques associés à la technologie pour aider les entreprises dans le secteur financier à établir une gestion robuste des risques associés à la technologie, à renforcer la sécurité de leur système et à protéger les données et les transactions sensibles.

Ces directives contiennent les meilleures pratiques de l’industrie que les institutions du secteur financier exerçant à Singapour doivent adopter. L’Autorité monétaire de Singapour indique clairement que, bien que les directives en matière de gestion des risques associés à la technologie ne soient pas contractuelles, elles constituent une référence qu’elle utilise pour évaluer le risque des institutions du secteur financier.

Description des directives

• 8.4.4 L’institution du secteur financier doit chiffrer les bandes de sauvegarde, y compris les clés USB, contenant des informations sensibles ou confidentielles avant de les transporter hors site pour les stocker.
• 9.1.6 Les informations confidentielles stockées sur les systèmes informatiques, les serveurs et les bases de données doivent être chiffrées et protégées par le biais de contrôles d’accès robustes, en suivant le principe de « moindre privilège ».
• 11.0.1.c Principe de contrôle des accès : l’institution du secteur financier doit octroyer des droits d’accès et des privilèges système en fonction de la responsabilité du poste et de la nécessité de les détenir pour effectuer une tâche uniquement. L’institution du secteur financier doit vérifier que personne, en vertu de son rang ou de son poste, ne doit bénéficier d’un droit d’accès intrinsèque aux données confidentielles, aux applications, aux ressources système ou aux sites.
• 11.1.1 L’institution du secteur financier doit octroyer un accès utilisateur aux systèmes informatiques en fonction du besoin et pour la période où ce besoin se présente uniquement. L’institution du secteur financier doit garantir que le propriétaire des ressources autorise et approuve comme il se doit toutes les demandes d’accès aux ressources informatiques.
• 11.2 Gestion des accès privilégiés.
• 11.2.3.d. Octroyer un accès privilégié en fonction du besoin.
• 11.2.3.e. Conserver une journalisation des activités du système réalisées par les utilisateurs privilégiés.
• 11.2.3.f. Interdire l’accès des utilisateurs privilégiés aux journaux système qui détaillent leurs activités.
• 13 Sécurité des cartes de paiement (distributeurs automatiques de billets, cartes de crédit et de débit).

Thales peut aider votre organisation à empêcher les violations de données de se produire grâce à :

• un contrôle des accès pour garantir que seuls les utilisateurs autorisés ont accès à vos systèmes et à vos données ;
• un chiffrement, une tokénisation et une gestion des clés cryptographiques pour garantir que si les données sont dérobées, les hackers ne pourront ni les lire, ni les utiliser.
• des journaux de renseignements de sécurité pour identifier les situations d’accès irrégulières et les violations de données existantes ;

Gestion des accès et authentification robustes

Les solutions de gestion de l’authentification et des accès de Thales fournissent les mécanismes de sécurité et les fonctionnalités de génération de rapports dont les organisations ont besoin pour garantir leur conformité aux réglementations concernant la sécurité des données. Nos solutions protègent les données sensibles en mettant en application les contrôles d’accès appropriés lorsque les utilisateurs se connectent aux applications qui stockent les données sensibles. En prenant en charge une gamme étendue de méthodes d’authentification et un accès basé sur les rôles et axé sur les politiques, nos solutions aident les entreprises à réduire les risques de violation de données dus à des identifiants compromis ou volés, ou à une utilisation abusive des identifiants en interne.

La prise en charge de l’identification unique et intelligente et de l’authentification renforcée permet aux organisations d’optimiser le confort des utilisateurs finaux, garantissant une authentification de leur part uniquement lorsque cela est nécessaire. La génération de rapports étendue permet aux entreprises de produire une trace de vérification détaillée de tous les événements d’accès et d’authentification, garantissant qu’ils peuvent prouver leur conformité à une gamme étendue de réglementations.

CipherTrust Data Security Platform

CipherTrust Data Security Platform de Thales est la seule solution avec une infrastructure unique souple pour la protection des données au repos régies par les exigences variées des entreprises sur la gamme la plus vaste de plateformes de systèmes d’exploitation, de bases de données, d’environnements de cloud et d’infrastructures de Big Data. Cela permet de garantir un coût total de possession faible ainsi qu’un déploiement et une exécution simples et efficaces.

• CipherTrust Transparent Encryption fournit un chiffrement des données au repos au niveau des fichiers ou des volumes, une gestion des clés et des contrôles d’accès sécurisés requis par les réglementations et les normes de conformité.
• CipherTrust Key Management permet une gestion centralisée des clés de chiffrement pour d’autres environnements et appareils, y compris le matériel compatible KMIP et les clés principales et les certificats numériques d’Oracle TDE et de SQL Server TDE.
• CipherTrust Security Intelligence fournit un autre niveau de protection contre les individus malveillants en interne, les utilisateurs privilégiés, les menaces persistantes avancées et autres attaques pouvant compromettre les données en fournissant les informations des comportements d’accès permettant d’identifier un incident en cours.
• CipherTrust Application Data Protection permet aux agences d’intégrer des fonctionnalités de chiffrement à des applications internes au niveau du champ et de la colonne en toute simplicité.
• CipherTrust Tokenization permet aux administrateurs d’établir des politiques pour renvoyer un champ entièrement tokénisé ou masquer dynamiquement des parties d’un champ. Grâce aux fonctionnalités de tokénisation avec conservation du format de la solution, vous pouvez limiter l’accès aux ressources sensibles tout en formatant en même temps les données protégées de sorte que les nombreux utilisateurs puissent faire leur travail.

Dispositifs de chiffrement à haut débit de Thales

Les dispositifs de chiffrement haut débit High Speed Encryptors (HSE) de Thales offrent un chiffrement des données en transit indépendant du réseau (couches 2, 3 et 4) garantissant la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le Cloud et inversement. Grâce à nos HSE, les clients peuvent améliorer la protection de leurs données, de leurs vidéos, de leurs fichiers audio et de leurs métadonnées contre les écoutes, la surveillance et l’interception, explicite et déguisée ; le tout à un coût abordable et sans compromis sur les performances.