Conformità della sicurezza dei dati con lo standard APRA Prudential
CPS234 in Australia

Panoramica della normativa

L'Australian Prudential Regulation Authority (APRA) ha lo scopo di garantire la tutela degli interessi finanziari degli australiani e la stabilità, la competitività e l'efficienza del sistema finanziario. La presente Prudential Practice Guideline (PPG) si rivolge alle aree in cui continuano a essere individuate carenze nella gestione della sicurezza delle informazioni nell'ambito delle continue attività di vigilanza dell'APRA. Il documento intende inoltre fornire una guida per l'attuazione di Prudential Standard CPS 234 Information Security (CPS 234), con le sezioni chiave riportate di seguito:

• Considerazioni per il Consiglio di amministrazione
• Ruoli e responsabilità
• Capacità di sicurezza delle informazioni
• Quadro politico
• Identificazione e classificazione delle risorse informative
• Implementazione dei controlli
• Gestione degli incidenti
• Verifica dell'efficacia del controllo
• Audit interno

Chi deve rispettare la legge CPS234?
La CPS234 si applica alle entità regolamentate dall'APRA, vale a dire:

• istituti di deposito autorizzati (ADI), compresi quelli esteri, le cooperative di credito e le banche
• assicuratori generali
• compagnie di polizze vita e società amiche
• assicurazioni sanitarie private
• holding non operative
• fondi pensionistici

Thales aiuta le aziende con a rispettare la legge CPS234, aderendo alle linee guida APRA Prudential Practice Guidelines (PPG) sulla capacità di sicurezza delle informazioni, il quadro delle politiche, l'identificazione e la classificazione delle risorse informative, l'implementazione dei controlli e la gestione degli incidenti.

CAPACITÀ DI SICUREZZA INFORMATICA
Linee guida 18: capacità di terze parti e parti correlate

• Con la CipherTrust Data Security Platform (CDSP), gli amministratori possono creare una netta separazione dei compiti tra gli amministratori privilegiati e i proprietari dei dati e può implementare criteri di gestione degli accessi molto granulari secondo il principio del privilegio minimo, garantendo la protezione dei dati da utilizzi impropri da parte di utenti privilegiati.
• CipherTrust Transparent Encryption offre una completa separazione dei ruoli amministrativi, in modo che solo gli utenti autorizzati e i processi possono visualizzare i dati non crittografati.
• La capacità di autorizzazione granulare della piattaforma OneWelcome Identity di Thales aiuta le aziende a fornire la giusta quantità di accesso alle persone giuste al momento giusto.

QUADRO POLITICO
Linee guida 21: una gerarchia di politiche informata da una serie di principi chiave

• OneWelcome Identity Platform di Thales consente alle aziende di associare dispositivi e altre identità digitali agli account primari, di autenticare, autorizzare, raccogliere e archiviare informazioni sulle identità esterne e interne provenienti da diversi domini.
• Le smart card SafeNet IDPrime possono essere utilizzate per implementare l'accesso fisico a strutture sensibili. Queste smart card possono anche integrare le iniziative di autenticazione senza password basate sulla tecnologia PKI e FIDO.
• CipherTrust Transparent Encryption protegge i dati tramite crittografia dei dati a riposo a livello di file e volumi, controlli e registrazione degli audit degli accessi ai dati senza applicazioni di reingegnerizzazione, database o infrastrutture con funzionalità MFA che limita i dati sensibili degli utenti privilegiati.
• I Luna Hardware Security Module (HSM) di Thales garantiscono i più elevati standard di sicurezza crittografica grazie all’archiviazione di chiavi crittografiche esclusivamente all’interno di hardware.
• CipherTrust Manager gestisce infatti le attività legate al ciclo di vita delle chiavi come la generazione, la rotazione, l'eliminazione, l'importazione e l'esportazione. Inoltre fornisce alle chiavi e ai criteri un controllo degli accessi basato sui ruoli, supporta audit e report validi e offre REST API facili da utilizzare per gli sviluppatori. Inoltre, supporta un’autenticazione a due fattori per l'accesso amministrativo.
• L'audit trail di CipherTrust Data Security Platform consente ai proprietari e ai revisori del rischio di valutare e dimostrare la conformità rispetto al quadro dei criteri di sicurezza delle informazioni. CipherTrust Transparent Encryption (CTE) fornisce registrazioni dettagliate degli audit dell'accesso ai dati e i log e report di CipherTrust Security Intelligence semplificano l’elaborazione dei rapporti di conformità e velocizzano il rilevamento delle minacce grazie a sistemi SIEM (Security Information and Event Management) leader di mercato.

IDENTIFICAZIONE E CLASSIFICAZIONE DEGLI ASSET INFORMATICI
Linee guida 26: classificazione di tutti gli asset informativi in base alla criticità e alla sensibilità

• Grazie alla classificazione di tutti gli asset informatici in base alla criticità e alla sensibilità, CipherTrust Data Discovery and Classification offre una visibilità completa sui dati sensibili grazie a discovery, classificazione e analisi dei rischi efficienti nei data store eterogenei (cloud, big data e ambienti tradizionali) dell'impresa.

ATTUAZIONE DEI CONTROLLI
Linee guida 36: controlli sulla sicurezza delle informazioni implementati in tutte le fasi

• Le soluzioni di gestione delle identità e degli accessi OneWelcome di Thales limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al loro contesto, tramite un'autenticazione (MFA) avanzata, e politiche di accesso e di autorizzazione granulari. La soluzione facilita anche la gestione dell'identità dei dispositivi IoT esterni tramite la specifica OAuth2 Device Flow. I dispositivi connessi al web e con input limitato all'utente possono essere collegati agli account di identità utente gestiti dai tenant di OneWelcome.
• Le smart card SafeNet IDPrime possono essere utilizzate per implementare l'accesso fisico a strutture sensibili. Queste smart card possono anche integrare le iniziative di autenticazione senza password basate sulla tecnologia PKI e FIDO.
• La firma digitale per un'ampia gamma di applicazioni con gli Hardware Security Module (HSM) protegge le chiavi private utilizzate per le firme elettroniche sicure, migliorando la sicurezza e garantendo la conformità.
• CipherTrust Data Security Platform offre diverse funzionalità per la protezione dei dati a riposo in file, volumi e database grazie a CipherTrust Transparent Encryption e CipherTrust Tokenization.
• CipherTrust Transparent Encryption crittografa i dati sensibili e applica politiche di gestione granulari dell'accesso da parte di utenti privilegiati, che possono essere implementate in base a utente, processo, tipo di file, ora del giorno e altri parametri.
• CipherTrust Manager gestisce centralmente le chiavi di crittografia e configura i criteri di sicurezza in modo che le aziende possano controllare e proteggere i dati sensibili con la separazione dei compiti. Inoltre, semplifica e potenzia la gestione delle chiavi in ambienti di tipo enterprise per una varietà di casi d'uso. 

Linee guida 44: MINIMIZZAZIONE DELL'ESPOSIZIONE AGLI SCENARI PEGGIORI PLAUSIBILI

• Gli Hardware Security Module (HSM) salvaguardano le chiavi crittografiche utilizzate per proteggere le applicazioni e i dati sensibili, migliorano la sicurezza e garantiscono la conformità.
• CipherTrust Data Security Platform può implementare criteri di gestione degli accessi molto granulari secondo il principio del privilegio minimo, garantendo la protezione dei dati da utilizzi impropri da parte di utenti privilegiati e minacce.
  • CipherTrust Transparent Encryption crittografa i file, lasciando in chiaro i loro metadati, in modo che gli amministratori IT possano svolgere le proprie attività di amministrazione del sistema, senza ottenere un accesso privilegiato ai dati sensibili che risiedono nei sistemi che gestiscono.
  • CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) monitora continuamente i processi alla ricerca di attività di I/O anomale ed emette un avviso o blocca le attività dannose prima che il ransomware possa completamente impossessarsi dei tuoi endpoint e server.
  • CipherTrust Manager offre un'amministrazione e un controllo centralizzati degli accessi, unificando le operazioni di gestione delle chiavi con controlli degli accessi basati sui ruoli, impedendo modifiche non autorizzate delle password e segnalando accessi simultanei da parte dello stesso utente.
• Thales OneWelcome Identity Platform consente alle aziende di limitare virtualmente (o logicamente) l'accesso alle risorse riservate tramite l'uso della MFA (compresa l'autenticazione resistente al phishing) e di politiche di accesso granulari. Le smart card SafeNet IDPrime possono essere utilizzate per implementare l'accesso fisico a strutture sensibili.

Linee guida 46 (b): CONTROLLI FISICI E AMBIENTALI

• Le smart card SafeNet IDPrime possono essere utilizzate per implementare l'accesso fisico a strutture sensibili. Queste smart card possono anche integrare le iniziative di autenticazione senza password basate sulla tecnologia PKI e FIDO.

Linee guida 54:TECNICHE CRITTOGRAFICHE PER LIMITARE L'ACCESSO; Linee guida 56: SOLUZIONI TECNOLOGICHE DI SICUREZZA INFORMATICA e Linee guida 58: SOFTWARE SVILUPPATO / CONFIGURATO DALL'UTENTE FINALE

• Gli Hardware Security Module (HSM) forniscono il massimo livello di sicurezza della crittografia, memorizzando sempre le chiavi crittografiche nell'hardware, e offrono forti controlli di accesso che impediscono agli utenti non autorizzati di accedere al materiale crittografico sensibile.
• Il portfolio di Thales per i fattori di forma dell'autenticazione basata su certificati offre un’autenticazione multi-fattore, permettendo alle aziende di soddisfare i loro requisiti di sicurezza PKI.

Protezione dei dati in transito / movimento

• Gli High Speed Encryptor (HSE) di Thales offrono una crittografia di rete indipendente dei dati in transito / movimento (livelli 2, 3 e 4) garantendone la sicurezza durante gli spostamenti tra siti oppure da ambienti on-premise al cloud e viceversa.
• CipherTrust Manager gestisce centralmente le chiavi di crittografia e configura i criteri di sicurezza in modo che le aziende possano controllare e proteggere i dati sensibili con la separazione dei compiti.

Protezione dei dati in uso

• CipherTrust Vaultless Tokenization protegge i dati a riposo, mentre la funzionalità di mascheramento dinamico dei dati basata su criteri protegge i dati in uso. Un'API RESTful in combinazione con gestione e servizi centralizzati abilita l'implementazione della tokenizzazione con una singola riga di codice per campo.

Protezione dei dati a riposo

• CipherTrust Data Security Platform protegge e verifica l’integrità dei registri e delle informazioni dei clienti e far fronte a un’ampia gamma di minacce verso i dati.Proteggendo i dati a riposo grazie all'uso di CipherTrust Transparent Encryption per la crittografia dei dati a riposo a livello di file e di volume, CipherTrust Tokenization per la tokenizzazione dei database e la sicurezza della visualizzazione dinamica e CipherTrust Application Data Protection.

GESTIONE DEGLI INCIDENTI: RILEVAZIONE DI COMPROMISSIONI DELLA SICUREZZA
Linee guida 69

• Grazie a CipherTrust Data Security Platform, gli amministratori possono garantire una separazione completa delle responsabilità tra gli amministratori privilegiati e i titolari dei dati.Inoltre, CipherTrust Manager supporta l’autenticazione a due fattori per l'accesso amministrativo.
• OneWelcome Identity Platform di Thales consente alle aziende di limitare virtualmente (o logicamente) l'accesso alle risorse riservate tramite l'uso della MFA (compresa l'autenticazione resistente al phishing) e di politiche di accesso granulari con report analitici. Tiene inoltre traccia degli eventi di identità e fornisce report analitici.

Allegato A: principi di sicurezza 1. (a)

• CipherTrust Manager offre un'amministrazione e un controllo centralizzati degli accessi, unificando le operazioni di gestione delle chiavi con controlli degli accessi basati sui ruoli.
• Gli Hardware Security Module (HSM) salvaguardano le chiavi crittografiche utilizzate per proteggere le applicazioni e i dati sensibili, migliorano ulteriormente la sicurezza e garantiscono la conformità con un livello di protezione aggiuntivo.

Allegato A: principi di sicurezza 1. (e)

• La piattaforma di identità OneWelcome di Thales consente alle aziende di identificare e autenticare gli utenti interni ed esterni, di gestire in modo efficiente le identità di terzi con la sua capacità di gestione delle deleghe e di mitigare i rischi derivanti da terzi, oltre a fornire un audit trail immediato e aggiornato di tutti gli eventi di accesso a tutti i sistemi.
• Dopo l'identificazione di un utente, è possibile controllare e coordinare il modo in cui gli utenti accedono alle risorse e l'uso che possono farne con CipherTrust Enterprise Key Management Solution.

Allegato C: identità e accesso

• Le soluzioni di gestione delle identità e degli accessi OneWelcome di Thales limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al loro contesto.
• Le smart card SafeNet IDPrime possono essere utilizzate per implementare l'accesso fisico a strutture sensibili.

Allegato E: tecniche crittografiche

• Gli HSM Luna di Thales forniscono un ambiente temprato e a prova di manomissioni per un’elaborazione crittografica, una generazione e protezione delle chiavi e una crittografia sicure.
• CipherTrust Data Security Platform può implementare criteri di gestione degli accessi molto granulari secondo il principio del privilegio minimo, garantendo la protezione dei dati da utilizzi impropri da parte di utenti privilegiati e minacce.