Thales banner

Conformità della sicurezza dei dati con la linea guida ICT sulla sicurezza
in Bangladesh

Test

La Bangladesh Bank ha introdotto l'ultima linea guida ICT sulla sicurezza (versione 4.0) che delinea le modalità di gestione dei rischi informatici e di sicurezza da parte delle banche e degli istituti finanziari e fornisce alle banche / aziende finanziarie una migliore comprensione delle aspettative di vigilanza sulla gestione dei rischi informatici e di sicurezza. La linea guida ICT sulla sicurezza (versione 1.0) è stata pubblicata per la prima volta nell'ottobre 2005, mentre la versione 4.0 è la più recente ed è stata pubblicata nell'aprile 2023.

La crescente complessità delle tecnologie dell'informazione e della comunicazione (ICT) e i conseguenti rischi per la sicurezza hanno impatti negativi significativi sulle operazioni degli istituti finanziari, che potrebbero influire negativamente sugli interessi dei clienti, sulla reputazione dell'azienda e sull'economia nazionale. Pertanto, sono necessari controlli adeguati per un programma di sicurezza delle informazioni con una strategia di sicurezza ampia e a più livelli.

Thales offre soluzioni integrate per la sicurezza dei dati che consentono alle banche e agli istituti finanziari di allinearsi ai vari capitoli della linea guida sulla sicurezza ICT.

  • Regolamento
  • Conformità

Panoramica della normativa

La linea guida sulla sicurezza delle ICT si applica a banche, istituti finanziari non bancari (NBFI), fornitori di servizi finanziari mobili (MFSP), fornitori di servizi di pagamento (PSP), operatori di sistemi di pagamento (PSO), White Label ATM and Merchant Acquirers (WLAMA) e altri fornitori di servizi finanziari regolamentati dalla Bangladesh Bank.

La presente linea guida ICT revisionata definisce i requisiti minimi di controllo a cui ogni azienda deve attenersi. Gli obiettivi principali della linea guida sono:

  1. stabilire la governance delle ICT nel settore finanziario
  2. aiutare le aziende a sviluppare la propria politica di sicurezza ICT
  3. stabilire un approccio standard alla gestione della sicurezza ICT
  4. aiutare le aziende a sviluppare un'infrastruttura ICT sicura e affidabile
  5. stabilire un ambiente sicuro per l'elaborazione dei dati
  6. stabilire un approccio olistico alla gestione del rischio ICT
  7. stabilire una procedura per l'analisi dell'impatto sul business in collaborazione con la gestione del rischio ICT
  8. sviluppare la consapevolezza dei ruoli e delle responsabilità delle parti interessate per la protezione delle informazioni
  9. dare priorità ai sistemi informativi e ICT e ai rischi associati che devono essere mitigati
  10. stabilire un approccio di gestione del progetto appropriato per i progetti ICT
  11. garantire le best practice (standard industriali) nell'utilizzo della tecnologia
  12. sviluppare un quadro di riferimento per la gestione tempestiva ed efficace degli incidenti operativi e di sicurezza delle informazioni
  13. mitigare qualsiasi interruzione delle attività aziendali e proteggere i processi aziendali critici dagli effetti di guasti significativi dei sistemi informativi o di disastri e garantire una ripresa tempestiva
  14. definire i controlli necessari per proteggere i dati trasmessi sulle reti di comunicazione
  15. garantire che la sicurezza sia integrata in tutto il ciclo di vita delle acquisizioni, dello sviluppo e della manutenzione dei sistemi informativi
  16. ridurre al minimo i rischi per la sicurezza dell'infrastruttura bancaria elettronica, compresi i dispositivi ATM e POS, le carte di pagamento, l'internet banking, i servizi finanziari mobili, ecc.
  17. creare consapevolezza e formare gli utenti associati alle attività ICT per raggiungere gli obiettivi aziendali
  18. Utilizzo sicuro delle tecnologie emergenti.

I requisiti dettagliati sono illustrati in 13 capitoli.

Thales consente alle banche e agli istituti finanziari del Bangladesh di allinearsi ai seguenti sei capitoli della linea guida ICT sulla sicurezza.

Capitolo 4: Gestione dei servizi ICT

  • CipherTrust Cloud Key Management consente alle aziende di separare le chiavi dai dati memorizzati nel cloud, impedendo l'accesso non autorizzato ai dati da parte del fornitore del servizio cloud. Grazie alla tecnologia Hold-Your-Own-Key (HYOK), le aziende mantengono il pieno controllo e la proprietà dei propri dati controllando l'accesso alle chiavi di crittografia.
  • Protezione dei dati a riposo: CipherTrust Data Security Platform offre diverse funzionalità per la protezione dei dati a riposo in file, volumi e database. Tra questi: CipherTrust Transparent Encryption e CipherTrust Tokenization.
  • Protezione dei dati in movimento: gli High Speed Network Encryption (HSE) di Thales offrono una crittografia di rete indipendente dei dati in movimento (livelli 2, 3 e 4) garantendo la sicurezza dei dati durante gli spostamenti tra siti oppure da ambienti on-premise al cloud e viceversa.

Capitolo 5: Gestione della sicurezza dell'infrastruttura

  • CipherTrust Data Discovery and Classification consente alle aziende di individuare e classificare in modo efficiente i dati regolamentati strutturati e non strutturati provenienti da più fonti di dati, in base ai principali requisiti di conformità globali e regionali.
  • Le soluzioni di High Speed Network Encryption (HSE) di Thales offrono una crittografia di rete indipendente dei dati in transito / movimento (livelli 2, 3 e 4) garantendone la sicurezza durante gli spostamenti tra siti oppure da ambienti on-premise al cloud e viceversa.
  • CipherTrust Transparent Encryption offre crittografia dei dati a riposo database-agnostic grazie alla gestione centralizzata delle chiavi, ai controlli degli accessi degli utenti privilegiati e a una registrazione dettagliata degli audit degli accessi ai dati, il quale aiuta le aziende a soddisfare i requisiti di best practice in materia di protezione dei dati.
  • Gli Hardware Security Module (HSM) proteggono le chiavi crittografiche e forniscono un ambiente FIPS 140-2 livello 3 temprato e a prova di manomissioni per un’elaborazione crittografica, una generazione e protezione delle chiavi e una crittografia sicure. Gli HSM Luna sono disponibili on-premise, nel cloud as-a-service e in ambienti ibridi e consentono di eseguire il backup delle chiavi in HSM di backup conformi allo standard FIPS 140-2 livello 3.
  • Le soluzioni Key Management di Thales semplificano e potenziano la gestione delle chiavi in ambienti cloud e di tipo enterprise per una varietà di casi d'uso. Sfruttando appliance virtuali o hardware conformi allo standard FIPS 140-2, gli strumenti e le soluzioni di gestione delle chiavi di Thales offrono un alto livello di sicurezza per gli ambienti sensibili; centralizzano, inoltre, la gestione delle chiavi per le esigenze di crittografia interna e le applicazioni di terze parti.

Capitolo 9: Gestione della continuità operativa

  • Le informazioni sensibili contenute in cassette o dischi possono essere protette con CipherTrust Data Security Platform che garantisce la crittografia dei dati prima che vengano archiviati e trasportati. Key Management di Thales si integra con i principali fornitori di soluzioni di backup per gestire le chiavi di crittografia di backup e separare i dati dalle chiavi. Inoltre, protegge i dati prima che vengano sottoposti a backup e archiviati nei supporti rimovibili.

Capitolo 10: Acquisizione e sviluppo di sistemi informativi

  • CipherTrust Secrets Management (CSM) è una soluzione all'avanguardia per la gestione dei segreti, fornita da Akeyless, che protegge e automatizza l'accesso ai segreti critici negli strumenti DevOps e nei carichi di lavoro cloud, compresi segreti, credenziali, certificati, chiavi API e token.
  • CipherTrust Data Protection Gateway offre una protezione trasparente dei dati di qualsiasi microservizio o servizio web RESTful sfruttando API REST.

Capitolo 11: Sicurezza dei pagamenti digitali

  • PayShield 10k HSM è un HSM a pagamento, usato ampiamente nell'ecosistema globale di pagamenti da emittenti, provider di servizi, acquirenti, elaboratori di dati e reti di pagamento. Svolge un ruolo fondamentale nella sicurezza dei processi di emissione delle credenziali di pagamento, di autenticazione dell'utente, di autenticazione della carta e di protezione dei dati sensibili sia per i pagamenti faccia a faccia che per quelli digitali a distanza.

Capitolo 14: Gestione delle tecnologie emergenti

  • Gli HSM Luna Network di Thales sono concepiti per archiviare le chiavi private utilizzate da membri blockchain per firmare tutte le transazioni in un processore crittografico conforme allo standard FIPS 140-2 livello 3. Le chiavi sono archiviate per tutto il loro ciclo di vita, garantendo che le chiavi di crittografia non possano essere utilizzate da persone o dispositivi non autorizzati.

Risorse consigliate

Data Security Compliance with the Guideline on ICT Security in Bangladesh

Data Security Compliance with the Guideline on ICT Security in Bangladesh - Compliance Brief

Bangladesh Bank introduced the latest Guideline on ICT Security – version 4.0 that outlines how Banks and Financial Organizations (FOs) should manage IT and security risks and provide the Bank/FO with a better understanding of supervisory expectations regarding managing IT and...

Read More
Addressing The Requirements of The Framework for Adoption of Cloud Services by SEBI Regulated Entities

Addressing The Requirements of The Framework for Adoption of Cloud Services by SEBI Regulated Entities - Compliance Brief

This framework is a crucial addition to SEBI’s existing guidelines on cloud computing and is designed to help REs implement secure and compliant cloud adoption practices in India.

Read More
Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Read More
Best Practices for Cloud Data Protection and Key Management - White Paper

Best Practices for Cloud Data Protection and Key Management - White Paper

This paper describes security best practices for protecting sensitive data in the public cloud, and explains concepts such as BYOK, HYOK, Bring Your Own Encryption (BYOE), key brokering and Root of Trust (RoT). It explains the level of data protection that can be achieved by...

Read More

Altre norme fondamentali sulla protezione dei dati e sulla sicurezza

RGPD

REGOLAMENTO
ACTIVA ORA

Forse lo standard sulla privacy dei dati più completo fino ad oggi, il GDPR interessa qualsiasi organizzazione che elabora i dati personali dei cittadini dell'UE, indipendentemente da dove ha sede l'organizzazione.

Scopri di piu

PCI DSS

MANDATO
ACTIVA ORA

Qualsiasi organizzazione che svolge un ruolo nell'elaborazione dei pagamenti con carta di credito e debito deve rispettare i severi requisiti di conformità PCI DSS per l'elaborazione, l'archiviazione e la trasmissione dei dati dell'account.

Scopri di piu

Leggi sulla notifica delle violazioni dei dati

REGOLAMENTO
ACTIVA ORA

I requisiti di notifica della violazione dei dati a seguito della perdita di informazioni personali sono stati adottati dalle nazioni in tutto il mondo. Variano in base alla giurisdizione, ma includono quasi universalmente una clausola di "approdo sicuro".

Scopri di piu
man with laptop

Contatta uno specialista della conformità

Contattaci
laptop

Sei conforme con la RGPD ?

Esplora
two men

Leggi il Manuale sulle soluzioni per la conformità e le normative

Scaricalo Ora
Partners Resources Blogs Sentinel Drivers