Le linee guida per la gestione del rischio informatico (แนวปฏิบัติในการบริหารความเสี่ยงด้านเทคโนโลยี สารสนเทศ) della Banca di Thailandia (BOT) sono state aggiornate a novembre del 2023 per affrontare le minacce alla sicurezza informatica in evoluzione, i rischi di trasformazione digitale e i requisiti di conformità normativa per gli istituti finanziari in Thailandia. Le linee guida aggiornate includono il mantenimento di sistemi che supportano i canali di mobile banking, la segnalazione delle autovalutazioni dei rischi informatici a BOT entro 30 giorni e la presentazione di linee guida per l'implementazione della gestione dei rischi informatici e la gestione dei rischi di terze parti.
Panoramica delle linee guida per la gestione dei rischi informatici della BOT
- Lo scopo principale è garantire che gli istituti finanziari sottoposti a supervisione possano identificare, valutare, mitigare e monitorare efficacemente i rischi legati all'informatica in un panorama digitale in rapida evoluzione.
- Le linee guida riviste nel 2023 mirano a rafforzare la resilienza della sicurezza informatica per contrastare le crescenti minacce informatiche che colpiscono gli istituti finanziari, nonché la crescente dipendenza dai servizi cloud e dai fornitori terzi.
Le banche, gli istituti finanziari non bancari e i fornitori di servizi di pagamento sono sottoposti alla vigilanza da parte di BOT.
Panoramica sulla conformità
Conformità alle linee guida sulla gestione del rischio informatico della Banca di Thailandia (BOT)
Scopri come gli istituti finanziari rispettano le linee guida sulla gestione dei rischi informatici attraverso le nostre soluzioni complete e scopri di più sui requisiti.
Come Thales contribuisce alla conformità della Banca di Thailandia (BOT) alle linee guida sulla gestione del rischio informatico
Le soluzioni di sicurezza informatica di Thales aiutano gli istituti finanziari ad affrontare gli 8 requisiti del Capitolo 2 - Sicurezza delle tecnologie dell'informazione, semplificando la conformità e automatizzando la sicurezza con visibilità e controllo, riducendo il carico di lavoro dei team che si occupano di sicurezza e conformità.
Soluzioni di conformità della BOT
Sicurezza delle applicazioni
Proteggi applicazioni e API su larga scala nel cloud, on-premise o in un modello ibrido. La nostra suite di prodotti leader di mercato comprende firewall per applicazioni web (WAF), protezione contro Distributed Denial of Service (DDoS) e attacchi bot dannosi.
Data Security
Scopri e classifica i dati sensibili in un ambiente informatico ibrido e proteggili automaticamente ovunque, che siano inattivi, in movimento o in uso, utilizzando la tokenizzazione criptata e la gestione delle chiavi. Le soluzioni di Thales identificano, valutano e stabiliscono le priorità dei potenziali rischi per una loro valutazione accurata, oltre a individuare comportamenti anomali e monitorare le attività per verificarne la conformità. In tal modo, le organizzazioni possono stabilire dove concentrare principalmente i propri sforzi.
Gestione delle identità e degli accessi
Un accesso fluido, sicuro e affidabile alle applicazioni e ai servizi digitali per clienti, dipendenti e partner. Le nostre soluzioni limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al contesto con criteri di accesso granulari e autenticazione a più fattori che aiutano a garantire che l'utente giusto possa accedere alla risorsa giusta, al momento giusto.
Affrontare la BOT: linee guida sulla gestione del rischio informatico
Come Thales contribuisce:
- Classifica e assegna livelli di sensibilità specifici per i dati quando si definiscono gli archivi e i profili di classificazione per diversi tipi di set di dati.
- Identifica lo stato attuale della conformità e documenta le lacune.
- Scopre e classifica i potenziali rischi per tutte le API pubbliche, private e shadow.
Come Thales contribuisce:
- Rileva e previene le minacce informatiche con il firewall per applicazioni web, garantendo operazioni senza interruzioni di continuità e la totale tranquillità.
- Protegge le risorse di rete critiche dagli attacchi DDoS e dai Bad Bot, continuando a consentire il traffico legittimo.
- Offre una protezione unificata, con rilevamento e risposta integrati per API obsolete, non autenticate e soggette a BOLA e molte altre delle principali dieci minacce API OWASP, bloccando in tempo reale l'abuso della logica di business e le minacce alle API.
- Garantisce una protezione continua di tutte le API utilizzando tecniche di individuazione e classificazione approfondite per rilevare tutte quelle pubbliche, private e shadow.
- Codifica i dati inattivi on-premise, sui cloud e negli ambienti big data o container.
- Pseudonimizza le informazioni sensibili nei database.
- Protegge la radice di attendibilità di un sistema crittografico all'interno di un ambiente altamente sicuro.
- Protegge i dati in movimento con crittografia high-speed.
- Proteggere i dati in uso sfruttando la confidential computing.
- Ti fa ottenere la visibilità completa delle attività sui dati sensibili, monitora gli utenti che ne hanno accesso, esegue audit su ciò che fanno e documenta.
Soluzioni:
Sicurezza delle applicazioni
Sicurezza dei dati
Monitoraggio dell'attività dei dati
Scoprire e classificare i dati
Come Thales contribuisce:
- Assicura l'eliminazione sicura rimuovendo le chiavi da CipherTrust Manager e distruggendo digitalmente tutte le istanze dei dati.
Come Thales contribuisce:
- Centralizza le attività di gestione del ciclo di vita delle chiavi, tra cui generazione, rotazione, distruzione, importazione ed esportazione.
- Protegge le chiavi crittografiche in un ambiente FIPS 140-2 di livello 3.
- Supporta algoritmi di crittografia quali Advanced Encryption Standard (AES) a 256 bit, RSA 3072 bit e progettato per un aggiornamento post-quantistico per mantenere l'agilità crittografica.
- Implementa la crittografia trasparente per protocolli di crittografia forti e basati su standard.
- Gestisce e protegge tutti i segreti e le credenziali sensibili.
Soluzioni:
Sicurezza dei dati
Come Thales contribuisce:
- Utilizza protocolli di crittografia forti e basati su standard, come l'Advanced Encryption Standard (AES) per la crittografia dei dati e la crittografia a curva ellittica (ECC) per lo scambio di chiavi.
- Protegge le chiavi crittografiche in hardware convalidato FIPS e antimanomissione.
Come Thales contribuisce:
- Centralizza la gestione del ciclo di vita delle chiavi, tra cui generazione, rotazione, distruzione, importazione ed esportazione.
- Gestisce le chiavi di crittografia, fornisce un controllo granulare degli accessi e configura i criteri di sicurezza.
- Assicura l'eliminazione sicura rimuovendo le chiavi da CipherTrust Manager e distruggendo digitalmente tutte le istanze dei dati.
- Supporta algoritmi di crittografia quali Advanced Encryption Standard (AES) 256 bit, RSA 3072 bit.
- Offre protocolli di scambio di chiavi sicuri come TLS/SSL (Autenticazione reciproca), PKCS#11, KMIP, REST API (su TLS), Elliptic Curve Diffie-Hellman (ECDH), Key Wrapping (AES-KW, RSA-KW).
- Garantisce un controllo rigoroso sull'HSM con un'autenticazione forte a più fattori.
- Protegge le chiavi crittografiche in un ambiente FIPS 140-3 di livello 3.
- Esegue facilmente il backup e la duplicazione delle chiavi crittografiche sensibili in modo sicuro sul HSM di backup certificato FIPS 140-3 di livello 3.
- Gestisce e protegge tutti i segreti e le credenziali sensibili.
Come Thales contribuisce:
- Implementa l'autenticazione a più fattori (MFA) per garantire che solo gli utenti autorizzati accedano al sistema.
- Impiega Single Sign-On (SSO) per consentire agli utenti di accedere in modo sicuro a più sistemi con un'unica autenticazione.
- Imposta criteri di controllo degli accessi in base ai ruoli, alle responsabilità e ai rischi degli utenti (controllo degli accessi adattativo).
- Offre l'accesso al sistema di controllo e memorizzare i dati di utilizzo (registri di accesso) per supportare l'audit retrospettivo.
- Revoca automaticamente i diritti di accesso quando non sono più necessari (gestione degli utenti delegata e deprovisioning automatico).
Soluzioni:
Gestione delle identità e degli accessi
Controllo dell'accesso adattativo
Come Thales contribuisce:
- Offre l'autenticazione a più fattori (MFA) per impedire l'accesso non autorizzato alla rete.
- Crea politiche di controllo dell'accesso alla rete basate sui ruoli e sui rischi degli utenti.
- Monitora e analizza il comportamento di utilizzo della rete per ricevere avvisi in caso di rischi.
- Gestisce le autorizzazioni degli utenti esterni che devono accedere alla rete per motivi di sicurezza.
Soluzioni:
Gestione delle identità e degli accessi
Controllo dell'accesso adattativo
Come Thales contribuisce:
- Monitora l'attività delle API, traccia l'utilizzo, rileva anomalie e identifica potenziali tentativi di accesso non autorizzati.
- Abilita il monitoraggio continuo per acquisire e analizzare tutte le attività dell'archivio dati, fornendo audit trail dettagliati che mostrano chi accede a quali dati, quando e cosa è stato fatto ai dati.
- Applica la gestione dei diritti utente in base al tipo di dati e al ruolo dell'utente e produce report per gli audit trail.
- Acquisisce automaticamente dati dettagliati sull'attività a scopi di audit.
- Registra tutte le modifiche apportate alle autorizzazioni, insieme all'identità dell'autore e ai dettagli della sessione.
Soluzioni:
Sicurezza delle applicazioni
Sicurezza dei dati
Monitoraggio dell'attività dei dati
Monitoraggio dell'attività dei file
Gestione delle identità e degli accessi
Come Thales contribuisce:
- Regola le autorizzazioni di accesso in base al comportamento dell'utente in tempo reale o quasi reale e a fattori contestuali.
- Centralizza i criteri di accesso e l'applicazione a più ambienti ibridi in un unico pannello di controllo.
- Fornisce il registro d'accesso e l'attività degli utenti privilegiati (ad es. l'amministratore di sistema) per una successiva revisione.
- Analizza il comportamento degli utenti privilegiati e i registri di audit per individuare anomalie, come l'accesso dell'amministratore al di fuori dell'orario di lavoro o la modifica di privilegi anomali.
- Crea flussi di lavoro per richiedere privilegi e registrare le approvazioni a supporto della revisione.
Come Thales contribuisce:
- Monitora l'attività delle API, traccia l'utilizzo, rileva anomalie e identifica potenziali tentativi di accesso non autorizzati.
- Protegge le risorse di rete critiche dagli attacchi DDoS e dai Bad Bot, continuando a consentire il traffico legittimo.
- Avvisa o blocca in tempo reale gli attacchi al database e le richieste di accesso anomale.
- Monitora l'attività dei file nel tempo, per impostare avvisi sulle attività che possono mettere a rischio gli istituti finanziari.
- Monitora continuamente i processi per rilevare attività I/O anomale e avvisare o bloccare le attività dannose.
- Monitora inoltre i processi attivi per rilevare il ransomware, identificando attività come l'accesso eccessivo ai dati, l'esfiltrazione, la crittografia non autorizzata o l'impersonificazione malevola di un utente, e avvisa / blocca quando viene rilevata tale attività.
- Applica misure di sicurezza contestuali basate sul punteggio di rischio.
- Centralizza i criteri di accesso e l'applicazione a più ambienti ibridi in un unico pannello di controllo.
- Crea e distribuisce criteri di autenticazione adattivi basati sulla sensibilità dei dati / dell'applicazione.
- Monitora il comportamento degli utenti, ad esempio l'accesso come amministratore da un nuova location / un nuovo IP o un modello di accesso al sistema errato per allertare e prevenire l'attacco.
- Analizza l'analisi del comportamento dell'utente (UBA) e il contesto, come ad esempio tempo / dispositivo / rete, per aggiungere l'autenticazione o bloccare l'accesso.
- Crea un flusso di lavoro per avvisare, approva e controlla la gestione degli incidenti delle parti correlate.
Soluzioni:
Sicurezza delle applicazioni
Sicurezza dei dati
Monitoraggio dell'attività dei dati
Monitoraggio dell'attività dei file
Gestione delle identità e degli accessi
Come Thales contribuisce:
- Offre funzionalità avanzate di verifica API per rafforzare le difese contro potenziali vulnerabilità.
- Esegue test di valutazione su archivi dati come MySQL o simili per individuare vulnerabilità note.
- Esegue la scansione dei database con oltre 1.500 test di vulnerabilità predefiniti, basati sui benchmark CIS e PCI-DSS per proteggere i database dalle minacce più recenti.
Come Thales contribuisce:
- Gestisce l'accesso al sistema da dispositivi aziendali e BYOD con la verifica dell'identità e l'autenticazione a più fattori (MFA).
- Applica criteri di accesso contestuali e controlla i diritti di accesso al sistema e ai dati in base ai rischi del dispositivo e del ruolo dell'utente, ad esempio negando l'accesso a dispositivi non registrati o ad alto rischio.
- Crea flussi di lavoro per la registrazione, il rinnovo e la disdetta del BYOD.
- Verifica l'identità dei dispositivi con certificati digitali o autorità attendibili prima di consentire le connessioni.
- Rileva dispositivi non autorizzati, come rooted / jailbroken, e ne blocca immediatamente l'accesso.
Come Thales contribuisce:
- Pseudonimizza le informazioni sensibili nei database per impedire l'esposizione di dati reali a scopo di test.
Come Thales contribuisce:
- Gestisce l'identità dei fornitori di servizi esterni controllando e verificando la loro identità prima di concedere l'accesso ai sistemi o ai dati sensibili.
- Applica politiche di accesso basate sul ruolo e sul rischio del fornitore per limitare l'accesso solo all'ambito di lavoro necessario.
- Gestisce i diritti di accesso e assegna diritti di gestione ad amministratori o supervisori.
- Crea flussi di lavoro per registrare, verificare e revocare i diritti dei fornitori di servizi esterni in base al ciclo contrattuale.
- Monitora e archivia i registri delle attività di accesso dei fornitori di servizi esterni per supportare l'audit retrospettivo.
Soluzioni:
Gestione delle identità e degli accessi
Controllo dell'accesso adattativo
Risorse correlate
Altre normative chiave su protezione e sicurezza dei dati
PCI HSM
MANDATO | ATTIVO ORA
Le specifiche del PCI HSM definiscono un insieme di standard di sicurezza logici e fisici per gli HSM, appositamente per il settore dei pagamenti. La certificazione di conformità al PCI HSM dipende dal rispetto di tali standard.
DORA
REGOLAMENTO | ATTIVO ORA
DORA si propone di rafforzare la sicurezza informatica delle entità finanziarie per garantire che il settore finanziario in Europa sia resiliente di fronte al crescente volume e alla crescente gravità degli attacchi informatici.
Norme sulla notifica delle violazioni dei dati
REGOLAMENTO | ATTIVO ORA
In tutto il mondo sono stati emanati obblighi di notifica delle violazioni dei dati in seguito alla perdita di informazioni personali. Variano a seconda della giurisdizione, ma quasi sempre includono una clausola "safe harbor".
GLBA
REGOLAMENTO | ATTIVO ORA
Il Gramm-Leach-Bliley Act (GLBA), conosciuto anche come Financial Services Modernization Act del 1999, impone alle istituzioni finanziarie di spiegare ai clienti le pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili.