Banca di Riserva dell'India (RBI): Direttive per l'esternalizzazione dei servizi di tecnologia dell'informazione del 2023
Le entità regolamentate (RE) dell'India hanno fatto ampio ricorso alle tecnologie dell'informazione (IT) e ai servizi da esse abilitati (ITeS) per supportare i loro modelli di business, i prodotti e i servizi offerti ai clienti. Le RE esternalizzano anche una parte sostanziale delle loro attività informatiche a terzi, che le espongono a vari rischi.
Per garantire una gestione efficace dei rischi connessi, il 10 aprile 2023 la Banca di riserva dell'India (RBI) ha approvato le direttive sull'esternalizzazione dei servizi delle tecnologie dell'informazione del 2023, che sono entrate in vigore dal 1° ottobre 2023.
In qualità di leader nella sicurezza dei dati, Thales consente alle RE di conformarsi al controllo sull'utilizzo dei servizi di cloud computing delle direttive.
Panoramica della normativa
Le direttive sull'esternalizzazione dei servizi delle tecnologie dell'informazione dell'RBI hanno prescritto 9 punti di controllo con appendici sull'utilizzo dei servizi di cloud computing, sull'esternalizzazione del centro operativo di sicurezza e sui servizi non considerati nell'ambito dell'esternalizzazione dei servizi informatici.
Quali organizzazioni sono soggette alle Direttive?
- La Schedule Commercial Bank, comprese le banche estere con sede in India, le banche locali, le piccole banche finanziarie e le banche di pagamento, ma escluse le banche rurali regionali;
- Banche cooperative primarie (urbane), escluse le banche cooperative urbane di livello 1 e 2;
- Società di informazioni creditizie (CIC);
- Società finanziarie non bancarie ("NBFC"); e
- Tutte le istituzioni finanziarie indiane (EXIM Bank, NABARD, NaBFID, NHB e SIDBI).
Quando verranno applicate le Direttive?
La RBI ha concesso alle RE fino a dodici mesi dalla data di emissione delle Direttive per rivedere i loro accordi di esternalizzazione e conformarsi ai requisiti allegati alle Direttive se tali rinnovi sono previsti prima del 1° ottobre 2023, e ha offerto trentasei mesi dalla data di emissione delle Direttive, se i loro accordi devono essere rinnovati dopo il 1° ottobre 2023.
Definizioni
- Esternalizzazione materiale dei servizi informatici
Per "esternalizzazione materiale dei servizi informatici" si intende qualsiasi servizio che "se interrotto o compromesso potrebbe potenzialmente avere un impatto significativo sulle operazioni commerciali della RE"; oppure "potrebbe avere un impatto materiale sui clienti della RE in caso di accesso non autorizzato, perdita o furto di informazioni sui clienti" - Esternalizzazione dei servizi informatici comprende l'esternalizzazione delle seguenti attività:
- Gestione, manutenzione e supporto dell'infrastruttura informatica (hardware, software o firmware);
- Soluzioni di rete e di sicurezza, manutenzione (hardware, software o firmware);
- Sviluppo, manutenzione e collaudo di applicazioni; fornitori di servizi applicativi (ASP), compresi gli ASP di switch ATM;
- Servizi e operazioni relative ai data center;
- Servizi di cloud computing; e
- Gestione dell'infrastruttura informatica e dei servizi tecnologici associati all'ecosistema dei sistemi di pagamento.
I restanti servizi non considerati come esternalizzazione di servizi informatici o inclusi nell'Appendice III saranno considerati come esternalizzazione di servizi finanziari e non saranno coperti dalle presenti Direttive.
Conformità ICS
Thales contribuisce alla conformità da parte delle RE alle Direttive di esternalizzazione dei servizi informatici del 2023, affrontando due dei controlli e il requisito dell'utilizzo dei servizi di cloud computing.
Le Direttive | Soluzioni di Thales |
|---|---|
Capitolo - VI: Gestione del rischio | 17. Quadro di gestione del rischio | |
(e) "... le RE devono cercare di garantire la conservazione e la protezione della sicurezza e della riservatezza delle informazioni sui clienti in custodia o in possesso del fornitore di servizi..." (f) "Le RE rimangono responsabili della comprensione e del monitoraggio dell'ambiente di controllo di tutti i fornitori di servizi che hanno accesso ai dati, ai sistemi, alle registrazioni o alle risorse delle RE..." | CipherTrust Data Security Platform è una suite integrata di prodotti e soluzioni di sicurezza incentrati sui dati che unificano la scoperta, la protezione e il controllo dei dati in un'unica piattaforma. CipherTrust Platform offre diverse funzionalità per la protezione dei dati inattivi in file, volumi e database. Tra queste:
Data Security Fabric fornisce una visione unificata dei dati su diverse piattaforme, consentendo l'audit su sistemi relazionali, NoSQL, mainframe, big data e data warehouse. |
(i) "... esaminare e monitorare i processi di controllo e le pratiche di sicurezza del fornitore di servizi per rivelare le violazioni della sicurezza ..." | CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) rileva attività anomale I/O, avvisa o blocca le attività dannose e impedisce al ransomware di ottenere il controllo di endpoint e server. Imperva Data Security Fabric Threat Detection monitora l'accesso e l'attività dei dati, fornendo visibilità per identificare gli accessi rischiosi ai dati per tutti gli utenti, compresi quelli privilegiati. Offre avvisi in tempo reale, blocco delle violazioni dei criteri e conservazione dei dati a costi contenuti per gli audit. |
Capitolo - X: Strategia di uscita | |
b) "... rimozione / distruzione sicura dei dati, dell'hardware e di tutte le registrazioni (digitali e fisiche), a seconda dei casi..." | CipherTrust Enterprise Key Management semplifica e rafforza la gestione delle chiavi in ambienti cloud e aziendali, consentendo alle RE di eliminare efficacemente le informazioni crittografate gestite dai CSP. |
Appendice - I | Utilizzo dei servizi di cloud computing | |
3. "...La sicurezza del cloud è una responsabilità condivisa tra RE e il provider di servizi cloud (CSP). Le RE possono fare riferimento ad alcune delle migliori prassi per la sicurezza del cloud, per l'implementazione dei controlli necessari..." | Le RE possono assumere il controllo della sicurezza del cloud e migliorare la visibilità con CipherTrust Cloud Key Management (CCKM) di Thales. CCKM offre agli utenti cloud-native una visione con pannello di gestione unico, garantendo la protezione di tempo e dati. Supporta i casi d'uso "Bring Your Own Key" (BYOK) su più infrastrutture cloud e applicazioni SaaS. "Hold Your Own Key" (HYOK) aumenta il controllo delle RE sulle chiavi di crittografia, consentendo una chiara separazione dei compiti e una delimitazione esplicita delle responsabilità per le attività dei servizi cloud con il CSP. |
6. Gestione dei servizi cloud e considerazioni sulla sicurezza a. Architettura dei servizi e della tecnologia
| Thales offre soluzioni integrate di crittografia e gestione delle chiavi per proteggere le applicazioni basate su cloud per le RE con BYOE e BYOK.
|
| Gli Hardware Security Module (HSM) Luna di Thales forniscono alle organizzazioni un hardware dedicato al controllo delle chiavi crittografiche, offrendo un ambiente antimanomissioni per l'elaborazione crittografica sicura, la generazione di chiavi e la crittografia. |
| CipherTrust Transparent Encryption Container Security offre funzionalità di crittografia, controllo degli accessi e registrazione degli accessi ai dati all'interno dei container, in modo che le organizzazioni possano stabilire solide misure di protezione dei dati in ambienti container dinamici. |
| CipherTrust Enterprise Key Management è uno strumento ad alta disponibilità che centralizza la gestione delle chiavi di crittografia per il Data Security Portfolio di Thales e per le soluzioni di crittografia di terze parti. Gestisce le attività del ciclo di vita delle chiavi, i certificati e i segreti e offre domini multi-tenant per una maggiore sicurezza. |
b. Gestione dell'identità e dell'accesso (IAM) | OneWelcome, le soluzioni di gestione delle identità e degli accessi di Thales, limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al loro contesto.
|
Risorse correlate
Altre normative chiave su protezione e sicurezza dei dati
PCI HSM
MANDATO | ATTIVO ORA
Le specifiche del PCI HSM definiscono un insieme di standard di sicurezza logici e fisici per gli HSM, appositamente per il settore dei pagamenti. La certificazione di conformità al PCI HSM dipende dal rispetto di tali standard.
DORA
REGOLAMENTO | ATTIVO ORA
DORA si propone di rafforzare la sicurezza informatica delle entità finanziarie per garantire che il settore finanziario in Europa sia resiliente di fronte al crescente volume e alla crescente gravità degli attacchi informatici.
Norme sulla notifica delle violazioni dei dati
REGOLAMENTO | ATTIVO ORA
In tutto il mondo sono stati emanati obblighi di notifica delle violazioni dei dati in seguito alla perdita di informazioni personali. Variano a seconda della giurisdizione, ma quasi sempre includono una clausola "safe harbor".
GLBA
REGOLAMENTO | ATTIVO ORA
Il Gramm-Leach-Bliley Act (GLBA), conosciuto anche come Financial Services Modernization Act del 1999, impone alle istituzioni finanziarie di spiegare ai clienti le pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili.