Nel novembre 2022 il Consiglio europeo ha adottato la legge sulla resilienza operativa digitale (DORA) per migliorare la resilienza delle istituzioni finanziarie agli attacchi informatici. La legge DORA si propone di semplificare e armonizzare i requisiti nell'Unione Europea per la sicurezza dei sistemi di informazione e delle reti delle aziende che operano nel settore finanziario e dei fornitori terzi critici di servizi legati alle ICT (tecnologie dell'informazione e della comunicazione).
I principali pilastri della legge DORA sono:
La legge DORA si applica a un'ampia gamma di fornitori di servizi finanziari, tra cui banche, istituti di credito, istituti di pagamento, istituti di moneta elettronica, imprese di investimento e fornitori di servizi di cripto-asset. Ma soprattutto, la legge DORA definisce i servizi ICT critici forniti alle istituzioni finanziarie. Se un'azienda fornisce servizi ICT critici per un istituto finanziario, sarà soggetta a una supervisione regolamentare diretta nell'ambito del quadro DORA. Tale supervisione include, ad esempio, piattaforme cloud e servizi di analisi dei dati.
La legge DORA è entrata in vigore il 16 gennaio 2023, con un periodo di attuazione di due anni. Le entità finanziarie e i loro fornitori di ICT e di servizi devono essere conformi a tale legge entro il 17 gennaio 2025.
Le entità che violano i requisiti della legge possono incorrere in multe dal valore pari fino al due per cento del proprio fatturato mondiale annuo totale o, nel caso di una persona fisica, in una multa massima di 1.000.000 di euro. L'importo della multa dipenderà dalla gravità della violazione e dalla collaborazione dell'entità finanziaria con le autorità.
La legge DORA definisce quadri e linee guida per la gestione del rischio, con l'obiettivo di aiutare a costruire programmi di gestione del rischio maturi e migliorare la resilienza operativa.
Articolo 8.1:
"...identificare, classificare e documentare adeguatamente le risorse informative..."
CipherTrust Data Discovery and Classification individua dati sensibili, strutturati e non, nel cloud e on-premise. I modelli integrati permettono un'identificazione rapida dei dati regolati, il rilevamento dei rischi per la sicurezza e l'individuazione di lacune relative alla conformità.
Articolo 9.2:
"... mantenere elevati standard di disponibilità, autenticità, integrità e riservatezza dei dati, sia a riposo che in uso o in movimento."
Protezione dei dati a riposo:
CipherTrust Data Security Platform offre diverse funzionalità per la protezione dei dati a riposo in file, volumi e database. Tra queste:
Protezione dei dati in movimento:
Gli High Speed Encryptor (HSE) di Thales offrono una crittografia di rete indipendente dei dati in movimento (livelli 2, 3 e 4) garantendo la sicurezza dei dati durante gli spostamenti tra siti oppure da ambienti on-premise al cloud e viceversa. Le nostre soluzioni di crittografia di rete consentono ai clienti di proteggere meglio dati, video, file vocali e metadati da spionaggio, sorveglianza e intercettazione esplicita o sotto copertura, il tutto senza compromettere le prestazioni. Gli HSE di Thales sono disponibili come appliance sia fisici che virtuali e supportano un'ampia gamma di velocità di rete da 10 Mbps a 100 Gbps.
Articolo 9.3, b:
"...ridurre al minimo il rischio di corruzione o perdita di dati, di accesso non autorizzato e di difetti tecnici..."
I prodotti e le soluzioni di gestione delle identità e degli accessi OneWelcome di Thales limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al loro contesto. Con il supporto di un'autenticazione (MFA) avanzata, politiche di accesso e politiche di autorizzazione granulari contribuiscono a garantire che all'utente giusto sia concesso l'accesso alla risorsa giusta al momento giusto, riducendo al minimo il rischio di accesso non autorizzato.
Articolo 9.4, d:
"...implementare politiche che limitino l'accesso fisico e virtuale alle risorse e ai dati di sistema delle ICT a ciò che è necessario solo per funzioni e attività legittime e approvate, e..."
OneWelcome Identity Platform di Thales consente alle aziende di limitare virtualmente (o logicamente) l'accesso alle risorse riservate attraverso l'uso della MFA (compresa l'autenticazione resistente al phishing) e di politiche di accesso granulari. Le smart card SafeNet IDPrime possono essere utilizzate per implementare l'accesso fisico a strutture sensibili.
Il modulo OneWelcome Consent & Preference Management di Thales consente alle aziende di raccogliere il consenso dei consumatori finali in modo che le istituzioni finanziarie possano avere una chiara visibilità dei dati consentiti, permettendo loro di gestire l'accesso ai dati che sono autorizzati a utilizzare
Articolo 9.4, d::
"... autenticazione avanzata..."
"... misure di protezione delle chiavi crittografiche con cui vengono crittografati i dati."
SafeNet Trusted Access è una soluzione di accesso gestito basata sul cloud che permette di gestire facilmente gli accessi al cloud e alle applicazioni di tipo enterprise con una piattaforma integrata che combina autenticazione unica (SSO), autenticazione multifattore (MFA) e criteri di accesso basati su scenari.
Le soluzioni Key Management di Thales semplificano e potenziano la gestione delle chiavi in ambienti cloud e di tipo enterprise per una varietà di casi d'uso.
Gli Hardware Security Module (HSM) proteggono le chiavi crittografiche e forniscono un ambiente FIPS 140-2 livello 3 temprato e a prova di manomissioni per un’elaborazione crittografica, una generazione e protezione delle chiavi e una crittografia sicure.
Articolo 10.1:
"... rileva attività anomale... monitora l'attività degli utenti..."
I log e report sulle informazioni di sicurezza di CipherTrust Transparent Encryption semplificano l’elaborazione dei rapporti di conformità e velocizzano il rilevamento delle minacce grazie a informazioni sulla sicurezza e a sistemi SIEM esterni.
L'estensione CipherTrust Transparent Encryption Ransomware Protection rileva le attività di identificazione dei ransomware (accesso eccessivo ai dati, esfiltrazione, crittografia non autorizzata o impersonificazione con attività dannose).
SafeNet Trusted Access consente alle aziende di rispondere e mitigare il rischio di violazione dei dati, fornendo un audit trail immediato e aggiornato di tutti gli eventi di accesso a tutti i sistemi.
La legge DORA sottolinea la necessità di gestire il rischio dei fornitori di servizi ICT di terze parti e la necessità per le entità finanziarie di preparare strategie di uscita.
Thales aiuta le aziende a ridurre i rischi di terze parti sfruttando la gestione delle chiavi e la crittografia per imporre una rigorosa separazione dei compiti tra le istituzioni finanziarie e i fornitori di terze parti e mantenere la portabilità dei carichi di lavoro ad altri fornitori quando necessario.
Articolo 28.8:
"Per i servizi ICT [di terze parti] che supportano funzioni critiche o importanti, le entità finanziarie devono mettere in atto strategie di uscita"
"... misure di protezione delle chiavi crittografiche con cui vengono crittografati i dati."
CipherTrust Cloud Key Manager può ridurre i rischi di terze parti mantenendo in sede, sotto il pieno controllo dell'istituto finanziario, le chiavi che proteggono i dati sensibili conservati da fornitori cloud di terze parti nell'ambito dei sistemi BYOK (Bring Your Own Keys).
CipherTrust Transparent Encryption offre una completa separazione dei ruoli amministrativi, in cui solo gli utenti autorizzati e i processi possono visualizzare i dati non crittografati.
Le soluzioni Data Security di Thales offrono la gamma più completa di protezione dei dati, come Data Protection on Demand (DPoD) di Thales che fornisce elevata disponibilità e backup integrati per i servizi HSM Cloud Luna e CipherTrust Key Management basati su cloud e per le appliance di crittografia di rete HSE che offrono opzioni di azzeramento.
Thales helps organizations comply with DORA by addressing essential requirements for risk management and managing third party risk. Thales helps organizations by: Identifying and classifying sensitive data for risk assessment Protecting data at rest, in use, and in motion...
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
Forse lo standard sulla privacy dei dati più completo fino ad oggi, il GDPR interessa qualsiasi organizzazione che elabora i dati personali dei cittadini dell'UE, indipendentemente da dove ha sede l'organizzazione.
Qualsiasi organizzazione che svolge un ruolo nell'elaborazione dei pagamenti con carta di credito e debito deve rispettare i severi requisiti di conformità PCI DSS per l'elaborazione, l'archiviazione e la trasmissione dei dati dell'account.
I requisiti di notifica della violazione dei dati a seguito della perdita di informazioni personali sono stati adottati dalle nazioni in tutto il mondo. Variano in base alla giurisdizione, ma includono quasi universalmente una clausola di "approdo sicuro".
