Conformità alle Linee guida sulla gestione del rischio tecnologico dell’Autorità monetaria di Singapore (MAS)

Panoramica della normativa

L’Autorità monetaria di Singapore (MAS) ha pubblicato delle linee guida sulla gestione del rischio tecnologico per aiutare le imprese finanziarie ad attuare una gestione sana del rischio tecnologico, rafforzare la sicurezza dei propri sistemi e salvaguardare i dati e le transazioni sensibili.

Le linee guida descrivono le best practice del settore che gli istituti finanziari che operano a Singapore dovrebbero adottare. Secondo il MAS, anche se i requisiti di queste linee guida non sono giuridicamente vincolanti, saranno un parametro di riferimento utilizzato per valutare il rischio degli istituti finanziari.

Linee guida

• 8.4.4 L’istituto finanziario dovrebbe crittografare nastri e dischi di backup, ivi incluse le chiavette USB, contenenti informazioni sensibili o riservate prima che siano trasportati fuori sede per l’archiviazione.
• 9.1.6 Le informazioni riservate memorizzate nei sistemi informatici, nei server e nei database dovrebbero essere criptate e protette tramite forti misure di controllo degli accessi, tenendo conto del principio del privilegio minimo.
• 11.0.1.c Principio del controllo degli accessi: l’istituto finanziario dovrebbe concedere diritti di accesso e privilegi di sistema in base al ruolo e al compito da svolgere. L’istituto finanziario dovrebbe garantire che nessun individuo abbia diritto intrinseco in virtù del grado o della posizione ad accedere a dati, applicazioni, risorse di sistema o infrastrutture di tipo riservato.
• 11.1.1 L’istituto finanziario dovrebbe concedere a un utente accesso a sistemi e reti IT a seconda delle necessità e per un lasso di tempo ben definito. L’istituto finanziario dovrebbe garantire che il titolare di una risorsa autorizzi e approvi debitamente ogni richiesta di accesso alle risorse IT.
• 11.2 Gestione degli accessi da parte degli utenti privilegiati.
• 11.2.3.d. Concedere accesso a utenti privilegiati a seconda delle necessità.
• 11.2.3.e. Registrare le attività di sistema eseguite da utenti privilegiati.
• 11.2.3.f. Impedire agli utenti privilegiati di accedere al registro dei sistemi in cui vengono monitorate le loro attività.
• 13 sicurezza delle carte di pagamento (ATM, carte di credito e di debito).

Thales può aiutare la tua organizzazione a impedire le violazioni di dati grazie a:

• Controlli degli accessi volti a garantire che solo gli utenti in possesso di credenziali possano accedere a sistemi e dati
• Crittografia, tokenizzazione e gestione delle chiavi crittografiche per garantire che eventuali dati sottratti siano inutili e incomprensibili per i criminali informatici
• Registri di security intelligence per identificare pattern di accesso irregolari e violazioni in corso

Gestione degli accessi e autenticazione avanzate

Le soluzioni di Thales di gestione degli accessi e autenticazione garantiscono i meccanismi di sicurezza e le funzionalità di reportistica di cui le organizzazioni hanno bisogno per rispettare i requisiti relativi alla messa in sicurezza dei dati. Le nostre soluzioni proteggono i dati sensibili applicando controlli degli accessi adeguati quando gli utenti accedono ad applicazioni contenenti informazioni riservate. Supportando un'ampia gamma di metodi di autenticazione e criteri di accesso basati sui ruoli, le nostre soluzioni aiutano le aziende a limitare i rischi di violazione dei dati causati dalla compromissione o sottrazione delle credenziali o da utilizzi impropri da parte di insider.

Il supporto per l'autenticazione Smart Single Sign-On e Step-Up permette alle aziende di ottimizzare la comodità per gli utenti finali, che devono autenticarsi soltanto quando ce n’è bisogno. I report approfonditi permettono alle aziende di produrre un audit trail dettagliato di tutti gli eventi di accesso e autenticazione, garantendo un rispetto comprovato degli obblighi previsti da un'ampia gamma di regolamenti.

CipherTrust Data Security Platform

La CipherTrust Data Security Platform di Thales è l'unica soluzione con un framework flessibile univoco che permette di proteggere i dati a riposo rispettando le diverse esigenze delle aziende su una vasta gamma di piattaforme OS, database, ambienti cloud e implementazioni di big data. Ne risulta un costo totale di proprietà ridotto con implementazioni e operazioni efficienti.

• CipherTrust Transparent Encryption fornisce una crittografia dei dati a riposo a livello di file e volumi, nonché una gestione delle chiavi e controlli degli accessi sicuri come richiesto dagli enti normativi e di conformità.
• CipherTrust Key Management permette una gestione centralizzata delle chiavi di crittografia per altri ambienti e dispositivi, tra cui hardware compatibile con KMIP, chiavi master Oracle e SQL Server TDE e certificati digitali.
• CipherTrust Security Intelligence fornisce un ulteriore livello di protezione dalle minacce provenienti dall'interno, da utenti privilegiati, APT e altri tipi di attacchi che compromettono i dati fornendo le informazioni di pattern di accesso in grado di identificare incidenti in corso.
• CipherTrust Application Data Protection consente alle agenzie di creare facilmente funzionalità crittografiche in applicazioni interne a livello di campo e colonna.
• La tokenizzazione di CipherTrust permette agli amministratori di stabilire criteri per tokenizzare campi interi o mascherare parti di essi in modo dinamico. Grazie ai token capaci di mantenere il formato, puoi limitare l'accesso a risorse sensibili formattando allo stesso tempo i dati protetti in modo da permettere agli utenti di svolgere i propri compiti.

HSE di Thales

Gli HSE (High Speed Encryptor) di Thales offrono una crittografia di rete indipendente dei dati in movimento (livelli 2, 3 e 4) garantendo la sicurezza dei dati durante gli spostamenti tra siti oppure da ambienti on-premises al cloud e viceversa. Le nostre soluzioni HSE consentono ai clienti di proteggere meglio dati, video, file vocali e metadati da spionaggio, sorveglianza e intercettazione esplicita o sotto copertura, il tutto a un costo accessibile e senza compromettere le prestazioni.