Le linee guida per la fornitura di sistemi informatici (แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสา รสนเทศ นป. 6/2567) emesse dalla Securities and Exchange Commission (SEC) of Thailand sono progettate per garantire che le istituzioni finanziarie, le società di titoli e altre entità regolamentate mantengano sistemi informatici sicuri, affidabili ed efficienti. Le linee guida fanno parte del più ampio quadro normativo della Thailandia volto a rafforzare la sicurezza informatica, la protezione dei dati e la resilienza operativa nei mercati dei capitali.
Quali sono le linee guida per la fornitura di sistemi IT da parte della SEC della Thailandia?
- La Securities and Exchange Commission of Thailand (SEC) supervisiona le operazioni sui titoli e sul mercato dei capitali, compresa la governance informatica per i fornitori di servizi finanziari.
- Queste linee guida sono conformi al Cybersecurity Act B.E. 2562 (2019) e al Personal Data Protection Act (PDPA) della Thailandia.
- Per mitigare i rischi legati a guasti dei sistemi informatici, minacce informatiche e violazioni dei dati.
- Per garantire la riservatezza, l'integrità e la disponibilità (triade confidentiality, integrity e availability, CIA) dei dati finanziari.
- Per promuovere la continuità aziendale e la preparazione al ripristino in caso di disastro.
- Si applica a società di intermediazione mobiliare, gestori patrimoniali, piattaforme di crowdfunding e altre entità regolamentate dalla SEC.
- Copre infrastrutture informatiche, software, reti, servizi cloud ed esternalizzazione di terze parti.
Panoramica sulla conformità
Garantire la conformità alle linee guida per la fornitura di sistemi informatici da parte della SEC
Esplorare le soluzioni per la conformità alle linee guida sulla gestione dei rischi delle tecnologie informatiche nel settore finanziario, che riguardano la sicurezza delle tecnologie dell'informazione e molto altro ancora.
Come Thales contribuisce alle linee guida per la fornitura di sistemi informatici da parte della SEC in Thailandia
Le soluzioni di sicurezza informatica di Thales aiutano gli istituti finanziari ad affrontare i 6 requisiti del Capitolo 2 - sicurezza delle tecnologie dell'informazione, semplificando la conformità e automatizzando la sicurezza con visibilità e controllo, riducendo il carico di lavoro dei team che si occupano di sicurezza e conformità.
Sicurezza delle applicazioni
Proteggi applicazioni e API su larga scala nel cloud, on-premise o in un modello ibrido. La nostra suite di prodotti leader di mercato comprende firewall per applicazioni web (WAF), protezione contro Distributed Denial of Service (DDoS) e attacchi bot dannosi.
Data Security
Scopri e classifica i dati sensibili in un ambiente informatico ibrido e proteggili automaticamente ovunque, che siano inattivi, in movimento o in uso, utilizzando la tokenizzazione criptata e la gestione delle chiavi. Le soluzioni di Thales identificano, valutano e stabiliscono le priorità dei potenziali rischi per una loro valutazione accurata, oltre a individuare comportamenti anomali e monitorare le attività per verificarne la conformità. In tal modo, le organizzazioni possono stabilire dove concentrare principalmente i propri sforzi.
Gestione delle identità e degli accessi
Un accesso fluido, sicuro e affidabile alle applicazioni e ai servizi digitali per clienti, dipendenti e partner. Le nostre soluzioni limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al contesto con criteri di accesso granulari e autenticazione a più fattori che aiutano a garantire che l'utente giusto possa accedere alla risorsa giusta, al momento giusto.
Affrontare la SEC: linee guida per la fornitura di sistemi informatici
Come Thales contribuisce:
- Gestisce i diritti di accesso al sistema e ai dati (controllo degli accessi) supportando l'autorizzazione basata sui ruoli (RBAC) e l'autorizzazione condizionale (ABAC).
- Offre la gestione degli utenti delegata per concedere o revocare rapidamente i diritti con audit trail.
- Gestisce il processo di autenticazione degli utenti supportando l'autenticazione a più fattori (MFA).
- Fornisce Single Sign-On (SSO) e lo visualizza come report sulle attività di accesso per soddisfare i requisiti di sicurezza.
- Controlla e gestisce gli account utenti privilegiati supportando l'applicazione dell'autenticazione a più fattori (MFA) per l'accesso ai sistemi critici.
- Progetta procedure di autorizzazione e approvazione (Orchestrazione del percorso dell'utente) per account utenti privilegiati e archivia e visualizza come report sulle attività degli utenti privilegiati per un audit dettagliato.
- Gestisce e controlla l'accesso esterno (gestione degli accessi di terze parti) supportando l'autenticazione tramite social media o account dell'organizzazione originale (BYOI).
- Valuta i rischi prima di effettuare l'accesso e controlla i rischi di accesso in tempo reale (autenticazione basata sul rischio), inclusa la visualizzazione come report di controllo degli accessi di terze parti per consentire monitoraggio, controllo e supervisione continui.
Soluzioni:
Gestione delle identità e degli accessi
Controllo dell'accesso adattativo
BYOI e verifica dell'identità tramite accesso social
Gestione degli utenti delegata
Autenticazione basata sul rischio
Come Thales contribuisce:
- Identifica i dati sensibili strutturati e non strutturati a rischio nel sistema informatico ibrido.
- Classifica e assegna livelli di sensibilità specifici per i dati quando si definiscono gli archivi e i profili di classificazione per diversi tipi di set di dati.
- Scopre e classifica i potenziali rischi per tutte le API pubbliche, private e shadow.
Come Thales contribuisce:
- Rileva e previene le minacce informatiche con il firewall per applicazioni web, garantendo operazioni senza interruzioni di continuità e la totale tranquillità.
- Protegge le risorse di rete critiche dagli attacchi DDoS e dai Bad Bot, continuando a consentire il traffico legittimo.
- Garantisce tempi di attività con mitigazione DDoS rapida ed efficace e un SLA di 3 secondi per gli attacchi di livello 3 e 4.
- Protegge dagli attacchi alla logica di business e da molte altre minacce che rientrano tra le principali dieci minacce API OWASP.
- Garantisce una protezione continua di tutte le API utilizzando tecniche di individuazione e classificazione approfondite per rilevare tutte quelle pubbliche, private e shadow.
- Identifica lo stato attuale della conformità e documenta le lacune.
- Codifica i dati inattivi on-premise, sui cloud e negli ambienti big data o container.
- Pseudonimizza i dati sensibili una volta creati e si assicura che i dati "cleartext" non vengano elaborati o archiviati da personale non autorizzato, impedendo l'esposizione di dati reali di applicazioni e personale.
- Proteggere la radice di attendibilità di un sistema crittografico in un ambiente FIPS 140-3 di livello 3 (altamente sicuro).
- Protegge i dati in movimento con crittografia high-speed.
Soluzioni:
Sicurezza delle applicazioni
Sicurezza dei dati
Monitoraggio dell'attività dei dati
Scoprire e classificare i dati
Come Thales contribuisce:
- Gestisce i diritti di accesso al sistema e ai dati (controllo degli accessi) supportando il controllo degli accessi basato sui ruoli (Role-Based Access Control: RBAC) e il controllo degli accessi condizionali (Attribute-Based Access Control: ABAC).
- Offre diritti utente decentralizzati (gestione utenti delegati) concedendo o revocando rapidamente i diritti e producendo un registro di audit per le modifiche di accesso.
- Fornisce processi di autenticazione utente supportando l'autenticazione a più fattori, la valutazione del rischio prima dell'accesso (autenticazione basata sul rischio) e il Single Sign-On (SSO) con report di audit trail sulle attività di accesso.
- Controlla e gestisce gli account utenti privilegiati tramite l'autenticazione a più fattori, accedendo ai sistemi critici.
- Progetta processi di autorizzazione e approvazione (User Journey Orchestration) per account utenti privilegiati con report di auditing dettagliati.
- Archivia e verifica i registri di accesso informatico, trasmette i registri a sistemi SIEM esterni per la correlazione, l'analisi dei rischi e l'audit retrospettivo, secondo necessità.
- Utilizza processi di autenticazione equivalenti a MFA, come l'associazione del dispositivo o l'autenticazione biometrica.
- Esegue una valutazione dei rischi prima di approvare le eccezioni e conservare le prove delle eccezioni sotto forma di report di approvazione delle eccezioni per essere conformi alle politiche.
Soluzioni:
Gestione delle identità e degli accessi
Gestione degli utenti delegata
Come Thales contribuisce:
- Protegge le chiavi crittografiche in hardware convalidato FIPS e antimanomissione.
- Codifica le chiavi con una chiave AES 256 monouso e le invia tramite una connessione TLS autenticata reciprocamente.
- Adotta una crittografia trasparente e continua che protegga dagli accessi non autorizzati da parte di utenti e processi in ambienti fisici, virtuali e cloud.
- Utilizza protocolli di crittografia forti e basati su standard, come l'Advanced Encryption Standard (AES) per la crittografia dei dati e la crittografia a curva ellittica (ECC) per lo scambio di chiavi.
Come Thales contribuisce:
- Supporta algoritmi di crittografia quali Advanced Encryption Standard (AES) a 256 bit, RSA 3072 bit e progettato per un aggiornamento post-quantistico per mantenere l'agilità crittografica.
- Gestisce le chiavi di crittografia, fornisce un controllo granulare degli accessi e configura i criteri di sicurezza.
- Centralizza la gestione del ciclo di vita delle chiavi, tra cui generazione, rotazione, distruzione, importazione ed esportazione.
- Assicura l'eliminazione sicura rimuovendo le chiavi da CipherTrust Manager e distruggendo digitalmente tutte le istanze dei dati.
- Protegge le chiavi crittografiche in un ambiente FIPS 140-3 di livello 3.
- Esegue facilmente il backup e la duplicazione delle chiavi crittografiche sensibili in modo sicuro sul HSM di backup certificato FIPS 140-3 di livello 3.
- Gestisce e protegge tutti i segreti e le credenziali sensibili.
Come Thales contribuisce:
- Applicare la separazione dei compiti tra i propri dati e le parti esterne, nonché il fornitore di servizi cloud (CSP), archiviando in modo sicuro le chiavi di crittografia al di fuori del cloud corrispondente.
- Automatizza la gestione del ciclo di vita delle chiavi su cloud e ambienti ibridi con processi e strumenti.
- Abilita la gestione delle relazioni con fornitori, partner o qualsiasi utente terzo, con una chiara delega dei diritti di accesso.
- Riduce al minimo i privilegi utilizzando un'autorizzazione dettagliata basata sulle relazioni.
Soluzioni:
Sicurezza dei dati
Gestione delle chiavi sul cloud
Gestione delle identità e degli accessi
Come Thales contribuisce:
- Rileva e previene le minacce informatiche con il firewall per applicazioni web, garantendo operazioni senza interruzioni di continuità e la totale tranquillità.
- Protegge le prestazioni e l'integrità della rete ICT dagli attacchi DDoS e dai Bad Bot, continuando a consentire il traffico legittimo.
Come Thales contribuisce:
- Controlla e gestisce l'accesso ai sistemi informatici da reti esterne (telelavoro) supportando l'autenticazione a più fattori (MFA) e l'autenticazione basata sul rischio.
- Imposta criteri per consentire agli amministratori di approvare le connessioni da reti esterne e visualizzare i risultati come report sulle attività di accesso remoto.
- Gestisce i criteri di accesso per i dispositivi mobili, come ad esempio controllare le installazioni delle patch di sicurezza e le impostazioni del dispositivo e applicare criteri antivirus e antimalware.
- Controlla i dispositivi prima di concedere l'accesso ai sistemi informatici nei casi in cui ai dipendenti è consentito utilizzare BYOD, come ad esempio impedendo le connessioni da dispositivi rooted o jailbroken e forzando l'installazione di un anti-malware aggiornato per prevenire minacce da dispositivi personali
Come Thales contribuisce:
- Registra i dati di utilizzo dei registri di audit e li invia al sistema SIEM.
Come Thales contribuisce:
- Gestisce l'autenticazione e il controllo degli accessi supportando l'autenticazione a più fattori e il Single Sign-On (SSO) e visualizzando i report dei registri di accesso.
- Registra l'accesso e rileva i tentativi di accesso al sistema di database.
- Gestisce l'autenticazione e il controllo degli accessi supportando l'autenticazione a più fattori e memorizzando i registri di accesso con visualizzazione dei report.
- Acquisisce informazioni sulle modifiche apportate alla struttura del database (registro dello schema del database) e ai dati nelle tabelle importanti, che possono essere visualizzate come tabella del registro degli accessi e come report.
- Produce audit trail e report di tutti gli eventi di accesso a tutti i sistemi, trasmette i registri ai sistemi SIEM esterni
- Fornisce controllo e verifica dell'accesso ai canali di comunicazione elettronica supportando la gestione dei diritti di accesso (autorizzazione esternalizzata) e i report di audit trail.
Soluzioni:
Sicurezza dei dati
Monitoraggio dell'attività dei dati
Monitoraggio dell'attività dei file
Gestione delle identità e degli accessi
Controllo dell'accesso adattativo
Come Thales contribuisce:
- Offre controllo e verifica dell'accesso ai dati personali (Personal Data Access Control) supportando l'impostazione di politiche di accesso contestualizzate (Adaptive Access Control) in base al livello di rischio dell'utente.
- Distribuisce l'autenticazione a più fattori (MFA) per gli utenti che effettuano l'accesso a dati personali sensibili o da nuovi dispositivi / nuove location.
- Imposta criteri di prevenzione (criteri di accesso) per l'accesso a dati sensibili al di fuori dell'orario lavorativo o da reti non attendibili.
- Rileva e avvisa gli amministratori se vengono identificati tentativi di accesso anomali, in modo che possano rispondere rapidamente.
- Supporta la creazione di report di audit trail di tutti gli accessi a scopo di audit e l'indagine in caso di incidenti.
Come Thales contribuisce:
- Imposta i diritti di accesso al registro di sistema solo per coloro che sono autorizzati dai ruoli e dai criteri dell'organizzazione (controllo degli accessi basato sui ruoli).
- Controlla in dettaglio le assegnazioni del registro d'accesso per l'audit.
- Applica l'autenticazione a più fattori (MFA) per gli amministratori che devono accedere ai registri per aumentare la sicurezza.
- Offre rigorosi diritti di accesso al registro di audit utilizzando il controllo di accesso adattivo per impedire accessi non autorizzati e creare record di traccia di controllo per controlli retrospettivi.
Soluzioni:
Gestione delle identità e degli accessi
Controllo dell'accesso adattativo
Come Thales contribuisce:
- Rileva le minacce al sistema con firewall per applicazioni web, sicurezza API e sicurezza del database e trasmettere gli accessi al sistema SIEM.
- Monitora l'attività delle API, traccia l'utilizzo, rileva anomalie e identifica potenziali tentativi di accesso non autorizzati.
- Protegge le risorse di rete critiche dagli attacchi DDoS e dai Bad Bot, continuando a consentire il traffico legittimo.
- Applica misure di sicurezza contestuali basate sul punteggio di rischio.
Soluzioni:
Sicurezza delle applicazioni
Come Thales contribuisce:
- Avvisa o blocca in tempo reale gli attacchi al database e le richieste di accesso anomale.
- Monitora l'attività dei file nel tempo, per impostare avvisi sulle attività che possono mettere a rischio gli istituti finanziari.
- Monitora continuamente i processi per rilevare attività I/O anomale e avvisare o bloccare le attività dannose.
- Monitora inoltre i processi attivi per rilevare il ransomware, identificando attività come l'accesso eccessivo ai dati, l'esfiltrazione, la crittografia non autorizzata o l'impersonificazione malevola di un utente, e avvisa / blocca quando viene rilevata tale attività.
Come Thales contribuisce:
- Offre funzionalità avanzate di verifica API per rafforzare le difese contro potenziali vulnerabilità.
Come Thales contribuisce:
- Esegue test di valutazione su archivi dati come MySQL o simili per individuare vulnerabilità note.
- Esegue la scansione dei database con oltre 1.500 test di vulnerabilità predefiniti, basati sui benchmark CIS e PCI-DSS per proteggere i database dalle minacce più recenti.
Come Thales contribuisce:
- Riduce i rischi di terze parti mantenendo il controllo on-premise sulle chiavi di crittografia che proteggono i dati ospitati sul cloud.
- Assicura la completa separazione dei ruoli tra gli amministratori del provider cloud e l'organizzazione, limitando l'accesso ai dati sensibili.
- Monitora e segnala anomalie per rilevare e impedire che attività indesiderate interrompano le attività della catena di fornitura.
- Abilita la gestione delle relazioni con fornitori, partner o qualsiasi utente terzo, con una chiara delega dei diritti di accesso.
- Riduce al minimo i privilegi utilizzando un'autorizzazione dettagliata basata sulle relazioni.
Risorse correlate
Altre normative chiave su protezione e sicurezza dei dati
PCI HSM
MANDATO | ATTIVO ORA
Le specifiche del PCI HSM definiscono un insieme di standard di sicurezza logici e fisici per gli HSM, appositamente per il settore dei pagamenti. La certificazione di conformità al PCI HSM dipende dal rispetto di tali standard.
DORA
REGOLAMENTO | ATTIVO ORA
DORA si propone di rafforzare la sicurezza informatica delle entità finanziarie per garantire che il settore finanziario in Europa sia resiliente di fronte al crescente volume e alla crescente gravità degli attacchi informatici.
Norme sulla notifica delle violazioni dei dati
REGOLAMENTO | ATTIVO ORA
In tutto il mondo sono stati emanati obblighi di notifica delle violazioni dei dati in seguito alla perdita di informazioni personali. Variano a seconda della giurisdizione, ma quasi sempre includono una clausola "safe harbor".
GLBA
REGOLAMENTO | ATTIVO ORA
Il Gramm-Leach-Bliley Act (GLBA), conosciuto anche come Financial Services Modernization Act del 1999, impone alle istituzioni finanziarie di spiegare ai clienti le pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili.