Comment les solutions Thales contribuent à la conformité au GLBA
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act 1999 (Loi sur la modernisation des services financier), oblige les institutions financières à expliquer à leurs clients leurs pratiques en matière d’échange d’informations et à protéger les données sensibles. L’objectif principal est de prévenir et d’atténuer les cybermenaces. La règle de protection de la Commission fédérale du commerce (FTC) impose aux entreprises concernées d’élaborer, de mettre en œuvre et de maintenir un programme de sécurité de l’information comportant des garanties administratives, techniques et physiques destinées à protéger les informations relatives aux clients.
Le GLBA se compose de trois règles principales concernant la confidentialité et la protection des données sensibles des consommateurs détenues par les institutions financières :
Le GLBA s’applique à un large éventail d’entreprises classées comme institutions financières. La FTC explique que le GLBA s’applique à « toutes les entreprises, quelle que soit leur taille, qui sont "engagées de manière significative" dans la fourniture de produits ou de services financiers ». Il s’agit non seulement d’entreprises proposant des produits ou des services financiers tels que des prêts, des conseils financiers ou des assurances, mais aussi d’entreprises proposant des services d’évaluation, de courtage et de gestion de prêts, d’encaissement de chèques, de prêts sur salaire, de services de coursier, de prêts non bancaires et de services de préparation des déclarations d’impôts, entre autres.
Le Gramm-Leach-Bliley Act a été promulgué par le Congrès en 1999 et est pleinement en vigueur. C’est principalement la FTC qui veille à l’application de la réglementation, bien que d’autres agences fédérales, telles que le Federal Reserve Board et la FDIC, ainsi que les gouvernements des États, soient chargés de réglementer les prestataires d’assurance.
Une institution financière qui enfreint le GLBA est passible d’une amende de 100 000 dollars pour chaque infraction. Ses dirigeants et administrateurs peuvent se voir infliger une amende maximale de 10 000 dollars pour chaque infraction ou une peine d’emprisonnement de cinq ans, voire des deux.
Thales aide les entreprises à se conformer au GLBA en répondant aux exigences essentielles en matière de protection des informations relatives aux clients.
La règle de protection du GLBA impose l’élaboration, la mise en œuvre et le maintien d’un programme de sécurité de l’information comportant des mesures de protection administratives, techniques et physiques destinées à protéger les informations relatives aux clients.
Partie 314, alinéa b :
« évaluation des risques qui identifie... les risques pour la sécurité des informations relatives aux clients »
La solution CipherTrust Data Discovery and Classification identifie les données sensibles structurées et non structurées sur site et dans le cloud. Des modèles intégrés permettent une identification rapide des données réglementées, mettent en évidence les risques de sécurité et aident à détecter les lacunes en matière de conformité.
Partie 314, alinéa c, point 1 :
« Mettre en place des contrôles d’accès et les réexaminer périodiquement. Déterminer qui a accès aux informations sur les clients et réexaminer régulièrement s’ils en ont toujours un besoin professionnel légitime. »
Les solutions de gestion des identités et des accès OneWelcome de Thales limitent l’accès des utilisateurs internes et externes en fonction de leur rôle et du contexte. Soutenues par une authentification forte (MFA), des politiques d’accès granulaires et des politiques d’autorisation fines permettent de s’assurer que le bon utilisateur a accès à la bonne ressource au bon moment, minimisant ainsi le risque d’accès non autorisé.
Le module de gestion du consentement et des préférences OneWelcome de Thales permet aux organisations de recueillir le consentement des consommateurs finaux afin que les institutions financières puissent avoir une visibilité claire des données consenties, leur permettant ainsi de gérer l’accès aux données qu’elles sont autorisées à utiliser.
CipherTrust Transparent Encryption chiffre les données sensibles et exécute des politiques de gestion des accès d’utilisateurs privilégiés granulaires pouvant être appliquées en fonction de l’utilisateur, du processus, du type de fichier, de l’heure de la journée et d’autres paramètres. Il offre une séparation complète des rôles où seuls les utilisateurs et les processus autorisés peuvent voir les données non chiffrées.
Partie 314, alinéa c, point 3 :
« Protéger par cryptage toutes les informations relatives aux clients que vous détenez ou transmettez, qu’elles soient en transit sur des réseaux externes ou au repos »
Protection des données au repos :
La solution CipherTrust Data Security Platform offre de multiples fonctionnalités pour protéger les données au repos dans les fichiers, les volumes et les bases de données. Parmi elles, citons :
Protection des clés et des certificats :
Les Luna Hardware Security Modules (HSM) protègent les clés de chiffrement et fournissent un environnement renforcé et inviolable de type FIPS 140-2 de niveau 3 pour des opérations cryptographiques (traitement, génération et protection des clés, chiffrement, et bien d’autres) sécurisées. Les HSM Luna sont disponibles sur site, dans le cloud en tant que service et dans des environnements hybrides.
Protection des données en transit :
Les dispositifs de chiffrement à haut débit, ou High Speed Encryptors (HSE), de Thales offrent un chiffrement des données en transit indépendant du réseau (couches 2, 3 et 4), ce qui garantit la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le cloud et inversement. Nos solutions de chiffrement réseau permettent aux clients d’améliorer la protection de leurs données, de leurs vidéos, de leurs fichiers audio et de leurs métadonnées contre les écoutes, la surveillance et l’interception, explicite et déguisée, le tout sans compromis sur les performances.
Partie 314, alinéa c, point 4 :
« Adopter des pratiques de développement sécurisées pour les applications développées en interne »
CipherTrust Platform Community Edition permet aux DevSecOps de déployer facilement des contrôles de protection des données dans les applications hybrides et multicloud. La solution comprend des licences pour CipherTrust Manager Community Edition, pour Data Protection Gateway et pour CipherTrust Transparent Encryption for Kubernetes.
CipherTrust Secrets Management est une solution de gestion des secrets de pointe, qui protège et automatise l’accès aux secrets à travers les outils DevOps et les charges de travail sur le cloud, y compris les secrets, les informations d’identification, les certificats, les clés API et les tokens.
Partie 314, alinéa c, point 5 :
« Mettre en œuvre l’authentification multifacteur... »
SafeNet Trusted Access est une solution de gestion des accès basée sur le cloud qui fournit une authentification multifacteur commerciale, prête à l’emploi, assortie de la plus large gamme de méthodes d’authentification matérielles et logicielles et de formats.
Partie 314, alinéa c, point 8 :
« Conserver un journal des activités des utilisateurs autorisés et surveiller les accès non autorisés. »
Les solutions de sécurité des données de Thales tiennent toutes des journaux détaillés sur l’accès et empêchent tout accès non autorisé. Les journaux et les rapports de renseignements de sécurité de la solution CipherTrust Transparent Encryption, notamment, rationalisent la génération de rapports de conformité et accélèrent la détection des menaces à l’aide des principaux systèmes de gestion des informations et des événements de sécurité (SIEM).
SafeNet Trusted Access permet aux organisations de répondre au risque de violation des données et de le réduire en fournissant une piste d’audit immédiate et à jour de tous les événements d’accès à tous les systèmes.
Partie 314, alinéa f, point 2 :
« Superviser les prestataires de services, en : exigeant par contrat de vos prestataires de services qu’ils mettent en œuvre et maintiennent de telles mesures de protection... »
CipherTrust Cloud Key Manager peut réduire les risques liés aux prestataires tiers en maintenant sur place, sous le contrôle total de l’institution financière, les clés qui protègent les données sensibles hébergées par des fournisseurs de cloud tiers dans le cadre de systèmes « apportez vos propres clés » (BYOK)..
CipherTrust Transparent Encryption offre une séparation complète des rôles administratifs où seuls les utilisateurs et les processus autorisés peuvent voir les données non chiffrées. À moins qu’une raison valable d’accéder aux données ne soit fournie, les données sensibles stockées dans un cloud tiers ne seront pas accessibles en clair aux utilisateurs non autorisés.
Les solutions de sécurité des données de Thales offrent la gamme la plus complète de protection des données, comme la protection des données à la demande (Data Protection on Demand - DPoD) de Thales, qui fournit une haute disponibilité et une sauvegarde intégrées à ses services HSM Cloud Luna et CipherTrust Key Management basés sur le cloud, jusqu’aux dispositifs de chiffrement de réseau HSE qui offrent des options de réduction à zéro.
Product review of SafeNet Trusted Access. Explore the options of authentication security that STA offers, to bridge the MFA, SSO and access management worlds in a single, well-integrated package. Discover how your business can bring security to access management.
In today’s ever increasing digital world, protecting critical data and ensuring the identity of those accessing data is essential. The standard measures once thought to be strong enough are simply insufficient when compared to the sophistication and persistence of today’s...
La première étape vers la conformité est de comprendre ce qui constitue les données sensibles, où elles sont stockées et comment elles sont utilisées. Si vous ne savez pas quelles données sensibles vous possédez, où elles résident et pourquoi elles sont là, vous ne pouvez pas...
Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...
Safeguarding sensitive data requires much more than just securing a data center’s on-premises databases and files. The typical enterprise today uses three or more IaaS or PaaS providers, along with fifty or more SaaS applications, big data environments, container technologies,...
Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...
You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...
Secure your sensitive data and critical applications by storing, protecting and managing your cryptographic keys in Thales Luna Network Hardware Security Modules (HSMs) - high-assurance, tamper-resistant, network-attached appliances offering market-leading performance and...
En tant qu’expert en matière de sécurité des données pour votre entreprise, vous devez protéger les données sensibles de votre organisation en développant et appliquant une stratégie de chiffrement à l’échelle de l’entreprise. Mais il est très difficile d’identifier où...
Networks are under constant attack and sensitive assets continue to be exposed. More than ever, leveraging encryption is a vital mandate for addressing threats to data as it crosses networks. Thales High Speed Encryption solutions provide customers with a single platform to ...
Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.
Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.
Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".
