Conformità al quadro di riferimento per l'adozione di servizi cloud in India
Norme di base per la sicurezza e la conformità normativa delle imprese regolamentate in India.
Il Securities and Exchange Board of India (SEBI) ha introdotto il Quadro di riferimento per l'adozione di servizi cloud da parte di imprese regolamentate dal SEBI con la circolare n. SEBI/HO/ITD/ITD_VAPT/P/CIR/2023/033 il 6 marzo 2023, che stabilisce gli standard di base per la sicurezza e la conformità normativa. Questo quadro di riferimento è un'aggiunta fondamentale alle linee guida SEBI esistenti in materia di cloud computing ed è stato progettato per aiutare le imprese regolamentate ad attuare pratiche di adozione del cloud sicure e conformi.
Lo scopo principale del quadro è evidenziare i rischi principali e le misure di controllo obbligatorie che le imprese regolamentate devono mettere in atto prima di adottare il cloud computing. Il quadro di riferimento definisce anche gli adempimenti normativi e legali a carico delle imprese regolamentate nel caso in cui adottino tali soluzioni.
Thales offre soluzioni integrate che consentono alla tua organizzazione di affrontare il Quadro di riferimento per l'adozione di servizi cloud con particolare attenzione ai principi di controllo della sicurezza e di gestione del rischio di concentrazione.
Panoramica della normativa
La circolare per il Quadro di riferimento per l'adozione di servizi cloud illustra i rischi peculiari dei servizi cloud pubblici, per guidare le imprese regolamentate nello sviluppo di una strategia di gestione del rischio. Inoltre, vengono indicate alcune buone prassi per mitigare le minacce specifiche del cloud. Se le imprese regolamentate non adottano le misure di sicurezza appropriate, come raccomandato nella circolare, i dati che mettono nel cloud potrebbero rischiare di essere compromessi da soggetti malintenzionati; a loro volta, gli incidenti di sicurezza che ne derivano potrebbero influire sulla capacità delle imprese regolamentate di mantenere la propria continuità operativa e di adempiere ai propri obblighi legali.
Si tratta di un quadro di riferimento basato su principi che copre nove aspetti chiave con gli argomenti riportati di seguito:
Il Quadro di riferimento per l'adozione di servizi cloud da parte di imprese regolamentate da SEBI è stato introdotto il 6 marzo 2023. Il quadro normativo si aggiunge alle circolari/linee guida/orientamenti della SEBI già esistenti ed entra in vigore immediatamente per tutti gli incarichi/progetti di cloud onboarding nuovi o proposti di imprese regolamentate dal SEBI. Le imprese regolamentate che attualmente si avvalgono di servizi cloud devono garantire che, dove necessario, tutti questi accordi siano rivisti e siano conformi al quadro normativo entro 12 mesi.
Thales offre soluzioni integrate che consentono alla tua organizzazione di affrontare il Quadro di riferimento per l'adozione di servizi cloud con particolare attenzione ai principi di controllo della sicurezza e di gestione del rischio di concentrazione.
Protezione dei dati a riposo
Thales offre diverse soluzioni per i dati a riposo che possono coesistere con la crittografia nativa fornita dal Cloud Service Provider (CSP).
Protezione dei dati in movimento
Le soluzioni di crittografia di rete ad alta velocità (HSE) di Thales proteggono i dati in movimento mentre si spostano nella rete tra data center, sedi centrali, filiali e succursali, siti di backup e disaster recovery, on-premise o nel cloud.
CipherTrust Transparent Encryption crittografa i file lasciando in chiaro i loro metadati. In questo modo i fornitori di servizi cloud possono eseguire le proprie attività di amministrazione del sistema senza ottenere l’accesso ai dati sensibili che si trovano nei sistemi che gestiscono.
Adozione della crittografia BYOE (Bring Your Own Encryption) e della chiave BYOK (Bring Your Own Key)
CipherTrust Cloud Key Manager supporta casi d’uso BYOK (Bring Your Own Key) e Hold Your Own Key (HYOK) su diverse infrastrutture cloud e applicazioni SaaS, in un'unica interfaccia. Fornisce la verifica delle chiavi, la generazione di chiavi forti e la gestione del ciclo di vita delle chiavi end-to-end, nonché la funzionalità di rotazione automatica delle chiavi, il recupero e la revoca delle chiavi che non sono disponibili nei sistemi di gestione delle chiavi (KMS) gestiti dai provider cloud.
Bring Your Own Key (BYOK) e Hold Your Own Key (HYOK) forniscono una maggiore separazione dei compiti per le chiavi di crittografia; l'impresa regolamentata può mantenere il controllo delle proprie chiavi invece di affidarle al fornitore di servizi cloud.
CipherTrust Transparent Encryption fornisce una crittografia trasparente e un controllo degli accessi per i dati che risiedono in Amazon S3, Azure Files e altro ancora. Offre inoltre soluzioni BYOE (Bring Your Own Encryption) multicloud avanzate per impedire la dipendenza dalla crittografia da parte del fornitore del servizio cloud e garantire la mobilità dei dati, proteggendo in maniera efficiente i dati su più fornitori con una gestione delle chiavi crittografiche centralizzata e indipendente.
Protezione delle chiavi crittografiche
Thales Luna Hardware Security Modules (HSM) consente alle organizzazioni di avere un hardware dedicato per un maggior grado di controllo e di proprietà sulle chiavi crittografiche rispetto a quello che avrebbero con il fornitore di servizi cloud (CSP).
Soluzioni CSP agnostiche
CipherTrust Cloud Key Manager combina il supporto del servizio BYOK del fornitore di servizi cloud con l’automazione della gestione delle chiavi cloud che fornire ai consumatori di servizi cloud controlli rigorosi sui cicli di vita delle chiavi di crittografia per i dati crittografati da un fornitore di servizi cloud.
Thales CipherTrust Transparent Encryption (CTE) and CipherTrust Tokenization offrono soluzioni BYOE (Bring Your Own Encryption) multicloud avanzate per impedire la dipendenza dalla crittografia da parte del fornitore del servizio cloud e garantire la mobilità dei dati, proteggendo in maniera efficiente i dati su più fornitori con una gestione delle chiavi crittografiche centralizzata e indipendente.
This framework is a crucial addition to SEBI’s existing guidelines on cloud computing and is designed to help REs implement secure and compliant cloud adoption practices in India.
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
This paper describes security best practices for protecting sensitive data in the public cloud, and explains concepts such as BYOK, HYOK, Bring Your Own Encryption (BYOE), key brokering and Root of Trust (RoT). It explains the level of data protection that can be achieved by...
Forse lo standard sulla privacy dei dati più completo fino ad oggi, il GDPR interessa qualsiasi organizzazione che elabora i dati personali dei cittadini dell'UE, indipendentemente da dove ha sede l'organizzazione.
Qualsiasi organizzazione che svolge un ruolo nell'elaborazione dei pagamenti con carta di credito e debito deve rispettare i severi requisiti di conformità PCI DSS per l'elaborazione, l'archiviazione e la trasmissione dei dati dell'account.
I requisiti di notifica della violazione dei dati a seguito della perdita di informazioni personali sono stati adottati dalle nazioni in tutto il mondo. Variano in base alla giurisdizione, ma includono quasi universalmente una clausola di "approdo sicuro".