Attenersi alla normativa BNM’s Cloud & Data Risk Management in Technology (RMiT) in Malesia

Panoramica della normativa

La politica di Risk Management in Technology (RMiT) della Bank Negara Malaysia (BNM) intende formalizzare i programmi di gestione del rischio utilizzati per l'adozione del cloud e di altre innovazioni tecnologiche nelle istituzioni finanziarie malesi.

Il 1° giugno 2023 la BNM ha emesso un nuovo documento normativo aggiornato sulla gestione del rischio nella tecnologia. Tutte le istituzioni finanziarie devono implementare solidi controlli di gestione del rischio al di sopra degli standard minimi normativi per fornire servizi finanziari efficienti in modo sicuro e prevenire lo sfruttamento degli anelli deboli nelle reti e nei sistemi interconnessi con una solida fortificazione informatica per preservare la fiducia del pubblico nel sistema finanziario.

Gli aggiornamenti principali del documento normativo RMiT includono:

• ulteriori indicazioni per rafforzare le capacità di gestione del rischio cloud degli istituti finanziari
• il passaggio a un approccio basato sul rischio nel processo di consultazione e notifica del cloud, con relativi aggiornamenti dei requisiti di valutazione e presentazione del rischio. L'utilizzo del controllo di sicurezza dell'autenticazione a più fattori (MFA) è indicato come requisito standard.
• la revisione del documento sulle domande frequenti per facilitare l'implementazione dei requisiti della normativa aggiornata.

Il documento normativo RMiT della BNM è entrato in vigore il 1° gennaio 2020. Il documento normativo aggiornato viene pubblicato ed entra in vigore il 1° giugno 2023 e sostituisce il precedente documento normativo del 1° gennaio 2020, a eccezione dei paragrafi 10.49, 10.50, 10.51 e 10.52 che sono rimasti applicabili fino al 31 maggio 2024.

In qualità di leader nella sicurezza e nell'identità digitale, Thales può aiutare le aziende a soddisfare e rispettare i rispettivi mandati della normativa RMiT della BNM, grazie alle nostre integrazioni con i fornitori di servizi cloud, come Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) e altri ancora.

Le nostre soluzioni supportano le categorie di normative RMiT nei seguenti ambiti:

Sviluppo e acquisizione del sistema:

• CipherTrust Tokenization rende anonime le informazioni sensibili contenute nei dati di test, in modo che fornitori con meno privilegi o di terze parti possano elaborarle senza il rischio di perdita di dati.
• Per proteggere i dati strutturati e non strutturati, come i codici sorgente, CipherTrust Transparent Encryption può crittografare l'intero codice sorgente per proteggerlo da accessi non autorizzati.

Crittografia:

• CipherTrust Data Security Platform offre l'uso di algoritmi basati su standard industriali, hashing e firma con RNG in una piattaforma centralizzata e sicura.
• Ciphertrust Manager (CM) nella CipherTrust Data Security Platform fornisce l'intera gestione del ciclo di vita delle chiavi e CipherTrust Cloud Key Management, la soluzione centralizzata di gestione delle chiavi multi-cloud. Il CM offre una rotazione delle chiavi che può essere utile in caso di recupero di chiavi crittografiche compromesse. Offre inoltre solide funzioni di separazione dei ruoli. Questo può essere ulteriormente migliorato con i domini di gestione della sicurezza, che combinano l'amministrazione basata sui ruoli con la possibilità di categorizzare la gestione dei criteri, delle chiavi di crittografia dei dati, delle configurazioni degli agenti e delle registrazioni degli audit per un particolare gruppo aziendale.
• CipherTrust Transparent Encryption consente la rotazione automatica delle chiavi senza tempi di inattività dell'applicazione, permettendo ai clienti di migrare facilmente a standard crittografici più recenti se e quando necessario.
• Thales è il principale fornitore di HSM a livello globale e tra le banche in Malesia. Gli HSM di Thales sono certificati secondo standard di sicurezza internazionali come FIPS-140-2 livello 3, Common Criteria, EIDAS e PCI-PTS.

Operazioni del centro dati:

• i dati sensibili contenuti nei supporti rimovibili possono essere protetti con CipherTrust Data Security Platform che garantisce la crittografia dei dati prima che vengano archiviati e trasportati. CipherTrust Key Management si integra con i principali fornitori di soluzioni di backup per gestire le chiavi di crittografia di backup e separare i dati dalle chiavi. Inoltre, protegge i dati prima che vengano sottoposti a backup e archiviati nei supporti rimovibili.

Servizi cloud:

• Con la tecnologia Hold-Your-Own-Key (HYOK) di CipherTrust Cloud Key Management, i clienti dei Cloud Service Provider mantengono il pieno controllo e la proprietà dei propri dati controllando l'accesso alle chiavi di crittografia, annullando il rischio che i dati vengano ceduti a potenze straniere.
• CipherTrust Data Security Platform aiuta le istituzioni finanziarie a crittografare i propri dati archiviati nei server cloud per proteggerli dalla divulgazione e dall'accesso non autorizzati, anche da parte del Cloud Service Provider, utilizzando la tecnologia Hold-Your-Own-Key (HYOK).

Controllo degli accessi:

• CipherTrust Transparent Encryption (CTE) consente la separazione dei compiti tra l'amministratore di sicurezza e l'amministratore di sistema all'interno dei server, garantendo che gli amministratori di sistema o gli account privilegiati non abbiano accesso alle chiavi di crittografia sensibili, mentre gli amministratori di sicurezza non hanno accesso ai dati. Registra inoltre tutte le attività di file degli utenti del sistema operativo da inoltrare a un syslog o a un SIEM.

Rischi principali e misure di controllo per i servizi cloud: CipherTrust Data Security Platform, le soluzioni CipherTrust Tokenization, CipherTrust Transparent Encryption, CipherTrust Key Management, CipherTrust Cloud Key Management e HSM.

• CipherTrust Data Security Platform (CDSP) dispone di vari moduli e approcci per aiutare i clienti a proteggere i loro dati archiviati nel cloud, come Bring-Your-Own-Encryption (BYOE), Hold-Your-Own-Key (HYOK), Bring-Your-Own-Key (BYOK) e anche una funzione centralizzata di gestione delle chiavi multi-cloud per fornire una soluzione completa ed esaustiva di protezione dei dati per coprire tutti i tipi di dati e di casi d'uso nel cloud. Consente di migrare i dati crittografati tra diversi cloud, eliminando la dipendenza dai formati specifici utilizzati dai diversi cloud provider; i clienti non sono vincolati a un unico cloud. CDSP offre la piena garanzia della distruzione dei dati quando escono da un cloud mediante l'uso di shredding digitale e fornisce varie opzioni e metodi di crittografia per i dati archiviati nel cloud.
• Con CipherTrust Transparent Encryption (CTE) e CipherTrust Tokenization, gli intermediari finanziari possono crittografare i dati prima che vengano trasferiti nel cloud. Anonimizzazione dei dati prima dell'ingresso nei data lake del cloud. CTE non solo fornisce la crittografia, ma applica anche un controllo di accesso granulare (separato dal controllo di accesso del sistema operativo) per gli utenti privilegiati, al fine di prevenire usi impropri o abusi.
• Gli HSM Luna di Thales offrono una protezione hardware a prova di manomissione, fondamentale per le soluzioni di firma digitale.
• CipherTrust Key Management (CCKM) si integra con VMware per consentire la crittografia delle immagini delle macchine virtuali e la crittografia VSAN, mentre CipherTrust Transparent Encryption consente di proteggere i dati all'interno delle macchine virtuali e dei container mediante la crittografia e il controllo degli accessi in modo trasparente, senza alcuna modifica dell'applicazione. CCKM consente l'Hold-Your-Own-Key (HYOK) per ambienti cloud e multi-cloud in cui i clienti mantengono la proprietà della loro chiave di crittografia e fornisce un approccio completo e centralizzato alla gestione delle chiavi multi-cloud, consentendo la generazione, l'archiviazione e la distribuzione di chiavi multi-cloud in modo sicuro. In questo modo si riducono la complessità e gli elevati costi amministrativi legati all'utilizzo di più cloud.