Linee guida per la sicurezza informatica e delle informazioni (ICS) del 2023
La digitalizzazione avviata dal governo indiano nel 2017 e le modalità di lavoro da remoto durante il COVID-19 hanno segnato un cambiamento nelle modalità di gestione ed elaborazione dei dati da parte del settore assicurativo indiano. Con l'evoluzione del panorama della sicurezza informatica, il 24 aprile 2023 l'Insurance Regulatory and Development Authority of India (IRDAI) ha introdotto le linee guida per la sicurezza informatica e delle informazioni (ICS) del 2023, che sostituiscono quelle del 2017.
In qualità di leader nella sicurezza dei dati, Thales consente alle organizzazioni del settore assicurativo di conformarsi alle linee guida ICS in 6 politiche di sicurezza, consigliando le tecnologie appropriate per la sicurezza dei dati e la gestione delle identità.
Panoramica della normativa
L'enfasi principale delle linee guida per la sicurezza informatica e delle informazioni (ICS) del 2023 è su un approccio alla sicurezza incentrato sui dati, ovvero sulla protezione dei dati stessi piuttosto che della rete o del sistema in cui sono archiviati. Le linee guida ICS del 2023 impongono inoltre alle entità regolamentate (RE) di adottare un approccio basato sul rischio, di applicare le misure necessarie per garantire la gestione dei dati e di mitigare le minacce informatiche contro la perdita, l'uso improprio o la fuga di informazioni sensibili dei clienti in qualsiasi forma.
Quali aziende sono soggette alle linee guida ICS?
Le linee guida ICS del 2023 si applicano a tutti gli intermediari assicurativi, compresi i broker, le imprese di riassicurazione estere (FRB), gli agenti aziendali, gli aggregatori web, gli amministratori di terze parti (TPA), le società di marketing assicurativo (IMF), i depositi assicurativi, le piattaforme di auto-rete assicurativa (ISNP), i periti aziendali, i fornitori di servizi di assicurazione autoveicoli (MISP), i centri di servizio comuni (CSC) e l'Insurance Information Bureau of India (IIB) (collettivamente con gli assicuratori, le "entità regolamentate").
Conformità ICS
Thales aiuta le organizzazioni del settore assicurativo indiano a conformarsi alle linee guida per la sicurezza informatica e delle informazioni del 2023, affrontando 6 politiche di sicurezza.
Politiche del dominio di sicurezza | Soluzioni di Thales |
|---|---|
2.1 Classificazione dei dati | |
3.3 Processo di classificazione dei dati: | CipherTrust Data Discovery and Classification individua dati sensibili, strutturati e non, sul cloud e on-premise. I modelli integrati permettono un'identificazione rapida dei dati regolati, il rilevamento dei rischi per la sicurezza e l'individuazione di lacune relative alla conformità. Data Security Fabric monitora i dati da un punto di vista unificato per l'auditing su diverse piattaforme on-premise e su cloud, fornendo una supervisione per database relazionali, database NoSQL, mainframe, piattaforme di big data e data warehouse. L'attività dettagliata dei dati strutturati e non strutturati viene acquisita automaticamente, rendendo più facile soddisfare le richieste di audit. |
3.4.1.2 e 3.4.2.2 Requisiti di conservazione 3.4.1.3 e 3.4.2.3 Requisiti di trasferimento | CipherTrust Transparent Encryption offre crittografia dei dati inattivi grazie alla gestione centralizzata delle chiavi e ai controlli degli accessi degli utenti privilegiati. Fornisce una completa separazione dei ruoli, in cui solo gli utenti e i processi autorizzati possono visualizzare i dati non criptati. CipherTrust Tokenization con mascheramento dinamico dei dati consente la pseudonimizzazione delle informazioni sensibili nei database mantenendo la capacità di analizzare i dati aggregati senza esporre i dati sensibili durante l'analisi o nei report. CipherTrust Enterprise Key Management semplifica e potenzia la gestione delle chiavi in ambienti cloud e di tipo enterprise per una varietà di casi d'uso. Inoltre, le informazioni crittografate possono essere efficacemente eliminate distruggendo le chiavi di crittografia. |
2.2 Gestione delle attività | |
3.1 Profilazione del patrimonio informativo 3.2.2.1 Labeling delle risorse 3.2.2.2 Inventario delle risorse e della documentazione | CipherTrust Data Discovery and Classification individua dati sensibili, strutturati e non, sul cloud e on-premise. I modelli integrati permettono un'identificazione rapida dei dati regolati, il rilevamento dei rischi per la sicurezza e l'individuazione di lacune relative alla conformità. |
3.2.2.3 Inventario delle autorizzazioni 3.2.3 Utilizzo delle risorse | CipherTrust Secrets Management è una soluzione all'avanguardia per la gestione dei segreti, che protegge e automatizza l'accesso ai segreti tra gli strumenti DevOps e nei carichi di lavoro cloud, compresi segreti, credenziali, certificati, chiavi API e token. Combinare la gestione dei segreti con la gestione delle chiavi è come avere un caveau fortificato per tutti i beni preziosi per il controllo dell'inventario. |
3.2.6 Smaltimento delle risorse | CipherTrust Enterprise Key Management garantisce uno smaltimento sicuro delle risorse. Sfruttando appliance virtuali o hardware conformi allo standard FIPS 140-2, gli strumenti e le soluzioni di gestione delle chiavi di Thales offrono un alto livello di sicurezza per gli ambienti sensibili; centralizzano, inoltre, la gestione delle chiavi per la crittografia interna e le applicazioni di terze parti. |
2.3 Controllo degli accessi | |
3.3 Creazione e manutenzione dell'ID utente 3.5 Account utenti privilegiati | Le soluzioni Thales OneWelcome per la gestione delle identità e degli accessi limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al loro contesto. Sostenuti da un'autenticazione forte (MFA), i criteri di accesso granulari e i criteri di autorizzazione a grana fine aiutano a garantire che all'utente giusto sia concesso l'accesso alla risorsa giusta al momento giusto. Questo riduce al minimo il rischio di accesso non autorizzato. SafeNet Trusted Access (STA) è una soluzione di gestione degli accessi basata sul cloud che semplifica la gestione dell'accesso ai servizi cloud e alle applicazioni aziendali con una piattaforma integrata che combina Single Sign-On, autenticazione a più fattori (MFA) e criteri di accesso basati su scenari. Fornisce una visione unica degli eventi di accesso su tutte le applicazioni per garantire che l'utente giusto abbia accesso all'applicazione giusta al giusto livello di trust. |
2.16 Monitoraggio, registrazione e valutazione | |
3.3 Registrazione e monitoraggio dei sistemi informativi | CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) monitora continuamente i processi alla ricerca di attività anomale e avvisa o blocca le attività dannose. Monitora i processi attivi per identificare attività come l'accesso eccessivo ai dati, l'esfiltrazione, la crittografia non autorizzata o l'impersonificazione malevola di un utente e avvisa / blocca quando viene rilevata tali attività. |
2.12 Controlli crittografici | |
3.1 Uso dei controlli crittografici | CipherTrust Secrets Management è una soluzione all'avanguardia per la gestione dei segreti, che protegge e automatizza l'accesso ai segreti tra gli strumenti DevOps e nei carichi di lavoro cloud, compresi segreti, credenziali, certificati, chiavi API e token, garantendo così che tutte le informazioni di autenticazione statiche o riutilizzabili siano crittografate durante l'archiviazione e l'utilizzo. |
3.2 Gestione delle chiavi | CipherTrust Manager permette alle organizzazioni di centralizzare la gestione delle chiavi di crittografia, fornire un controllo granulare degli accessi e configurare i criteri di sicurezza. CipherTrust Manager è il punto di gestione centrale della CipherTrust Data Security Platform e gestisce le attività del ciclo di vita delle chiavi, fornisce un controllo dell'accesso alle chiavi e ai criteri basato sui ruoli, supporta una solida attività di auditing e reporting e offre un'API REST di facile utilizzo per gli sviluppatori. I moduli di sicurezza hardware (HSM) Luna di Thales proteggono le chiavi crittografiche e forniscono un ambiente FIPS 140-3 di livello 3, antimanomissioni, per l'elaborazione crittografica sicura, la generazione e la protezione delle chiavi, la crittografia e altro ancora. Gli HSM Luna sono disponibili on-premise, nel cloud as-a-service e in ambienti ibridi. |
2.19 Sicurezza del cloud | |
3.4.7 Crittografia | CipherTrust Enterprise Key Management semplifica e rafforza la gestione delle chiavi in ambienti cloud e aziendali, offre inoltre un'elevata sicurezza agli ambienti sensibili e centralizza la gestione delle chiavi per la crittografia sviluppata internamente, e supporta KMIP e applicazioni di terze parti. CipherTrust Cloud Key Management consente alle aziende di separare le chiavi dai dati memorizzati sul cloud, impedendo l'accesso non autorizzato ai dati da parte del fornitore del servizio cloud. Grazie alla tecnologia Hold-Your-Own-Key (HYOK), le aziende mantengono il pieno controllo e la proprietà dei dati controllando l'accesso alle chiavi di crittografia. |
3.4.8 Sicurezza delle applicazioni | CipherTrust Data Security Platform offre molteplici funzionalità per la sicurezza delle applicazioni. Tra queste:
|
Risorse correlate
Altre normative chiave su protezione e sicurezza dei dati
PCI HSM
MANDATO | ATTIVO ORA
Le specifiche del PCI HSM definiscono un insieme di standard di sicurezza logici e fisici per gli HSM, appositamente per il settore dei pagamenti. La certificazione di conformità al PCI HSM dipende dal rispetto di tali standard.
DORA
REGOLAMENTO | ATTIVO ORA
DORA si propone di rafforzare la sicurezza informatica delle entità finanziarie per garantire che il settore finanziario in Europa sia resiliente di fronte al crescente volume e alla crescente gravità degli attacchi informatici.
Norme sulla notifica delle violazioni dei dati
REGOLAMENTO | ATTIVO ORA
In tutto il mondo sono stati emanati obblighi di notifica delle violazioni dei dati in seguito alla perdita di informazioni personali. Variano a seconda della giurisdizione, ma quasi sempre includono una clausola "safe harbor".
GLBA
REGOLAMENTO | ATTIVO ORA
Il Gramm-Leach-Bliley Act (GLBA), conosciuto anche come Financial Services Modernization Act del 1999, impone alle istituzioni finanziarie di spiegare ai clienti le pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili.