Le linee guida per la supervisione e la gestione dei rischi informatici delle compagnie di assicurazione sulla vita BE 2563 (2020) (หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสน เทศของบริษัทประกันชีวิต พ.ศ. ๒๕๖๓) sono state emesse dall'Office of Insurance Commission (OIC) della Thailandia per rafforzare la gestione del rischio informatico nel settore delle assicurazioni sulla vita.
Quali sono le linee guida per la supervisione e la gestione dei rischi informatici dell'OIC?
- Garantire operazioni informatiche sicure e stabili nelle compagnie di assicurazione sulla vita
- Mitigare i rischi derivanti da minacce informatiche, violazioni dei dati e guasti del sistema
- Allinearsi agli standard internazionali
- Migliorare la conformità normativa e la tutela dei consumatori
- Tutte le compagnie di assicurazione sulla vita registrate in Thailandia
- Fornitori di servizi terzi (gestione dei sistemi informatici / dati per gli assicuratori)
6 categorie: Governance informatica, gestione dei progetti informatici, sicurezza informatica, gestione del rischio informatico, conformità informatica, audit informatico, governance e gestione del rischio della sicurezza informatica e reportistica degli incidenti di minacce informatiche.
PANORAMICA SULLA CONFORMITÀ
Conformità alle linee guida per la supervisione e la gestione dei rischi informatici dell'OIC della Thailandia
Scopri come le compagnie assicurative rispettano le linee guida per la supervisione e la gestione dei rischi informatici attraverso le nostre soluzioni complete di sicurezza informatica e scopri di più sui requisiti.
Come Thales contribuisce alle linee guida per la supervisione e la gestione dei rischi informatici dell'OIC della Thailandia
Le soluzioni di sicurezza informatica di Thales possono aiutare le organizzazioni ad affrontare due categorie: sicurezza informatica e governance e gestione dei rischi della sicurezza informatica, semplificando la conformità e automatizzando la sicurezza con visibilità e controllo, riducendo il carico di lavoro dei team che si occupano di sicurezza e conformità.
Soluzioni di conformità OIC
Sicurezza delle applicazioni
Proteggi applicazioni e API su larga scala nel cloud, on-premise o in un modello ibrido. La nostra suite di prodotti leader di mercato comprende firewall per applicazioni web (WAF), protezione contro Distributed Denial of Service (DDoS) e attacchi bot dannosi.
Data Security
Scopri e classifica i dati sensibili in un ambiente informatico ibrido e proteggili automaticamente ovunque, che siano inattivi, in movimento o in uso, utilizzando la tokenizzazione criptata e la gestione delle chiavi. Le soluzioni di Thales identificano, valutano e stabiliscono le priorità dei potenziali rischi per una loro valutazione accurata, oltre a individuare comportamenti anomali e monitorare le attività per verificarne la conformità. In tal modo, le organizzazioni possono stabilire dove concentrare principalmente i propri sforzi.
Gestione delle identità e degli accessi
Un accesso fluido, sicuro e affidabile alle applicazioni e ai servizi digitali per clienti, dipendenti e partner. Le nostre soluzioni limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al contesto con criteri di accesso granulari e autenticazione a più fattori che aiutano a garantire che l'utente giusto possa accedere alla risorsa giusta, al momento giusto.
Affrontare l’OIC: linee guida per la supervisione e la gestione dei rischi informatici
Come Thales contribuisce:
- Identifica i dati sensibili strutturati e non strutturati a rischio nel sistema informatico ibrido.
- Identifica lo stato attuale della conformità e documenta le lacune.
- Scopre e classifica i potenziali rischi per tutte le API pubbliche, private e shadow.
- Classifica e assegna livelli di sensibilità specifici per i dati quando si definiscono gli archivi e i profili di classificazione per diversi tipi di set di dati.
Come Thales contribuisce:
- Limita l'accesso degli utenti interni ed esterni ai sistemi e ai dati in base ai ruoli e al contesto tramite le politiche.
- Applica misure di sicurezza contestuali basate sul punteggio di rischio.
- Centralizza i criteri di accesso e l'applicazione a più ambienti ibridi in un unico pannello di controllo.
- Unifica le operazioni di gestione delle chiavi con il controllo degli accessi basato sui ruoli.
- Offre l'autenticazione a più fattori (MFA) per garantire che chi accede al sistema sia realmente autorizzato.
- Utilizza Single Sign-On (SSO) per consentire agli utenti di accedere in modo sicuro a più sistemi con un'unica autenticazione.
- Imposta criteri di accesso in base ai ruoli, alle responsabilità e ai rischi degli utenti (controllo degli accessi basato su criteri).
- Conserva i registri di accesso per supportare l'audit retrospettivo.
- Codifica sia i dati inattivi che in transito (Crittografia dei dati inattivi e in transito) per impedire accessi non autorizzati.
Soluzioni:
Sicurezza delle applicazioni
Sicurezza dei dati
Monitoraggio dell'attività dei dati
Monitoraggio dell'attività dei file
Gestione delle identità e degli accessi
Controllo dell'accesso adattativo
Come Thales contribuisce:
- Implementa una crittografia trasparente e continua che protegga dagli accessi non autorizzati da parte di utenti e processi in ambienti fisici, virtuali e cloud.
- Pseudonimizza le informazioni sensibili nei database per impedire l'esposizione di dati reali a scopo di test.
- Protegge le chiavi crittografiche in un ambiente FIPS 140-3 di livello 3 e hardware anti-manomissione.
- Codifica le chiavi con una chiave AES 256 monouso e le invia tramite una connessione TLS autenticata reciprocamente.
- Prodotti di sicurezza progettati per l'aggiornamento post-quantistico per mantenere la cripto-agilità.
Soluzioni:
Sicurezza dei dati
Come Thales contribuisce:
- Abilita l'autenticazione a più fattori (MFA) per gli utenti da remoto per garantire che l'accesso sia autorizzato.
- Fornisce la gestione dei diritti utente per il sistema a rete privata virtuale (VPN) per impedire l'accesso da dispositivi non autorizzati.
- Offre criteri di accesso da remoto per controllare solo gli utenti pre-approvati.
- Archivia i registri di accesso da remoto per supportare l'audit retrospettivo.
- Codifica i dati inviati tramite connessioni da remoto (crittografia dei dati in transito) per impedire l'intercettazione dei dati durante la comunicazione.
Soluzioni:
Gestione delle identità e degli accessi
Controllo dell'accesso adattativo
Come Thales contribuisce:
- Rileva e previene le minacce informatiche con il firewall per applicazioni web, garantendo operazioni senza interruzioni di continuità e la totale tranquillità.
- Protegge le risorse di rete critiche dagli attacchi DDoS e dai Bad Bot, continuando a consentire il traffico legittimo.
- Garantisce tempi di attività con mitigazione DDoS rapida ed efficace e un SLA di 3 secondi per gli attacchi di livello 3 e 4.
- Protegge dagli attacchi alla logica di business e da molte altre minacce che rientrano tra le principali dieci minacce API OWASP.
- Garantisce una protezione continua di tutte le API utilizzando tecniche di individuazione e classificazione approfondite per rilevare tutte quelle pubbliche, private e shadow.
- Ti fa ottenere la visibilità completa delle attività sui dati sensibili, monitora gli utenti che ne hanno accesso, esegue audit su ciò che fanno e documenta.
- Individua le attività rischiose di accesso ai dati per tutti gli utenti, compresi quelli privilegiati.
- Protegge i dati con avvisi in tempo reale o bloccando l'accesso degli utenti in caso di violazioni dei criteri.
- Offre trasparenza e contesto sullo stato di rischio dei dati consolidando le metriche di rischio dei dati, individuando le aree di rischio e fornendo punteggi di rischio trasparenti e personalizzabili.
Come Thales contribuisce:
- Esegue test di valutazione su archivi dati come MySQL o simili per individuare vulnerabilità note.
- Esegue la scansione dei database con oltre 1.500 test di vulnerabilità predefiniti, basati sui benchmark CIS e PCI-DSS per proteggere i database dalle minacce più recenti.
Risorse correlate
Altre normative chiave su protezione e sicurezza dei dati
PCI HSM
MANDATO | ATTIVO ORA
Le specifiche del PCI HSM definiscono un insieme di standard di sicurezza logici e fisici per gli HSM, appositamente per il settore dei pagamenti. La certificazione di conformità al PCI HSM dipende dal rispetto di tali standard.
DORA
REGOLAMENTO | ATTIVO ORA
DORA si propone di rafforzare la sicurezza informatica delle entità finanziarie per garantire che il settore finanziario in Europa sia resiliente di fronte al crescente volume e alla crescente gravità degli attacchi informatici.
Norme sulla notifica delle violazioni dei dati
REGOLAMENTO | ATTIVO ORA
In tutto il mondo sono stati emanati obblighi di notifica delle violazioni dei dati in seguito alla perdita di informazioni personali. Variano a seconda della giurisdizione, ma quasi sempre includono una clausola "safe harbor".
GLBA
REGOLAMENTO | ATTIVO ORA
Il Gramm-Leach-Bliley Act (GLBA), conosciuto anche come Financial Services Modernization Act del 1999, impone alle istituzioni finanziarie di spiegare ai clienti le pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili.