Modalità con cui le soluzioni di Thales contribuiscono alla conformità al GLBA
Il Gramm-Leach-Bliley Act (GLBA), conosciuto anche come Financial Services Modernization Act del 1999, impone alle istituzioni finanziarie di spiegare ai clienti le pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili. L'obiettivo principale è prevenire e mitigare le minacce informatiche. La Federal Trade Commission (FTC) Safeguards Rule impone alle aziende coperte di sviluppare, implementare e mantenere un programma di sicurezza delle informazioni che preveda misure di salvaguardia amministrative, tecniche e fisiche volte a proteggere le informazioni dei clienti.
Il GLBA prevede tre regole principali riguardanti la privacy e la protezione dei dati sensibili dei consumatori in possesso delle istituzioni finanziarie:
La legge GLBA si applica a un'ampia gamma di società classificate come istituti finanziari. La FTC spiega che la legge GLBA si applica a "tutte le imprese, indipendentemente dalle dimensioni, che sono impegnate in modo significativo nella fornitura di prodotti o servizi finanziari". Ciò include non solo le società che forniscono prodotti o servizi finanziari come prestiti, consulenza finanziaria o assicurazioni, ma anche quelle che forniscono valutazioni, intermediazione e assistenza per i prestiti, l'incasso degli assegni, i prestiti a pagamento, i corrieri, i prestiti non bancari e i servizi forniti dai commercialisti, tra gli altri.
La legge Gramm-Leach-Bliley è stata promulgata dal Congresso nel 1999 ed è pienamente in vigore. La FTC si occupa principalmente dell'applicazione della normativa, anche se altre agenzie federali, come la Federal Reserve Board e la FDIC, e i governi statali sono responsabili della regolamentazione dei fornitori di assicurazioni.
Un istituto finanziario trovato in violazione della legge GLBA può incorrere in multe di 100.000 dollari per ogni violazione. I suoi funzionari e direttori possono essere multati fino a 10.000 dollari per ogni violazione e/o possono essere incarcerati per cinque anni.
Thales aiuta le aziende a rispettare la legge GLBA soddisfacendo i requisiti essenziali per la salvaguardia delle informazioni sui clienti.
Il Safeguards Rule della legge GLBA impone lo sviluppo, l'implementazione e il mantenimento di un programma di sicurezza delle informazioni che preveda misure di salvaguardia amministrative, tecniche e fisiche volte a proteggere le informazioni dei clienti.
Parte 314. b:
"valutazione dei rischi che identifica... i rischi per la sicurezza delle informazioni dei clienti"
CipherTrust Data Discovery and Classification individua dati sensibili, strutturati e non, nel cloud e on-premise. I modelli integrati permettono un'identificazione rapida dei dati regolati, il rilevamento dei rischi per la sicurezza e l'individuazione di lacune relative alla conformità.
Parte 314. c. 1:
"Implementare e rivedere periodicamente i controlli di accesso. Stabilire chi ha accesso alle informazioni sui clienti e rivalutare regolarmente in caso di legittima necessità aziendale".
Le soluzioni di gestione delle identità e degli accessi OneWelcome di Thales limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al loro contesto. Con il supporto di un'autenticazione (MFA) avanzata, politiche di accesso e politiche di autorizzazione granulari contribuiscono a garantire che all'utente giusto sia concesso l'accesso alla risorsa giusta al momento giusto, riducendo al minimo il rischio di accesso non autorizzato.
Il modulo OneWelcome di Thales per la gestione del consenso e delle preferenze consente alle aziende di raccogliere il consenso dei consumatori finali in modo che le istituzioni finanziarie possano avere una chiara visibilità dei dati consentiti, permettendo loro di gestire l'accesso ai dati che sono autorizzati a utilizzare
CipherTrust Transparent Encryption crittografa i dati sensibili e applica politiche di gestione granulari dell'accesso da parte di utenti privilegiati, che possono essere implementate in base a utente, processo, tipo di file, ora del giorno e altri parametri. Offre una completa separazione dei ruoli, in cui solo gli utenti autorizzati e i processi possono visualizzare i dati non crittografati.
Parte 314. c. 3:
"Proteggere con la crittografia tutte le informazioni sui clienti in vostro possesso o trasmesse sia in transito su reti esterne che a riposo".
Protezione dei dati a riposo:
CipherTrust Data Security Platform offre diverse funzionalità per la protezione dei dati a riposo in file, volumi e database. Tra queste:
Protezione di chiavi e certificati:
I Luna Hardware Security Module (HSM) proteggono le chiavi crittografiche e forniscono un ambiente FIPS 140-2 livello 3 temprato e a prova di manomissioni per un’elaborazione crittografica, una generazione e protezione delle chiavi e una crittografia sicure. Gli HSM Luna sono disponibili on-premise, nel cloud as-a-service e in ambienti ibridi.
Protezione dei dati in movimento:
Gli High Speed Encryptor (HSE) di Thales offrono una crittografia di rete indipendente dei dati in movimento (livelli 2, 3 e 4) garantendo la sicurezza dei dati durante gli spostamenti tra siti oppure da ambienti on-premise al cloud e viceversa. Le nostre soluzioni di crittografia di rete consentono ai clienti di proteggere meglio dati, video, file vocali e metadati da spionaggio, sorveglianza e intercettazione esplicita o sotto copertura, il tutto senza compromettere le prestazioni.
Parte 314. c, 4:
"Adottare pratiche di sviluppo sicure per le applicazioni sviluppate internamente"
CipherTrust Platform Community Edition semplifica l'esecuzione da parte di DevSecOps dei controlli di protezione dei dati nelle applicazioni ibride e multi-cloud. La soluzione comprende le licenze per CipherTrust Manager Community Edition, Data Protection Gateway e CipherTrust Transparent Encryption per Kubernetes.
CipherTrust Secrets Management è una soluzione all'avanguardia per la gestione dei segreti che protegge e automatizza l'accesso ai segreti negli strumenti DevOps e nei carichi di lavoro cloud, compresi segreti, credenziali, certificati, chiavi API e token.
Parte 314. c, 5:
"Implementazione dell'autenticazione multi-fattore..."
SafeNet Trusted Access è una soluzione di gestione degli accessi basata sul cloud che fornisce un'autenticazione a più fattori commerciale, off-the-shelf, con la più ampia gamma di metodi e fattori di forma di autenticazione hardware e software.
Parte 314. c, 8:
"Mantenere un registro delle attività degli utenti autorizzati e tenere d'occhio gli accessi non autorizzati"
Le Data Security Solution di Thales mantengono tutte ampi registri di accesso e impediscono l'accesso non autorizzato. Nello specifico, i log e report sulle informazioni di sicurezza di CipherTrust Transparent Encryption semplificano l’elaborazione dei rapporti di conformità e velocizzano il rilevamento delle minacce grazie a informazioni sulla sicurezza e a sistemi SIEM esterni.
SafeNet Trusted Access consente alle aziende di rispondere e mitigare il rischio di violazione dei dati, fornendo un audit trail immediato e aggiornato di tutti gli eventi di accesso a tutti i sistemi.
Parte 314. f, 2:
"Sorvegliare i fornitori di servizi: richiedendo ai fornitori di servizi dell'azienda, per contratto, di implementare e mantenere tali misure protettive..."
CipherTrust Cloud Key Manager può ridurre i rischi di terze parti mantenendo in sede, sotto il pieno controllo dell'istituto finanziario, le chiavi che proteggono i dati sensibili conservati da fornitori cloud di terze parti nell'ambito dei sistemi BYOK (Bring Your Own Keys).
CipherTrust Transparent Encryption offre una completa separazione dei ruoli amministrativi, in cui solo gli utenti autorizzati e i processi possono visualizzare i dati non crittografati. A meno che non venga fornito un motivo valido per accedere ai dati, i dati sensibili archiviati in un cloud di terze parti non saranno accessibili in chiaro a utenti non autorizzati.
Le Data Security Solution di Thales offrono la gamma più completa di protezione dei dati, come Data Protection on Demand (DPoD) di Thales che fornisce elevata disponibilità e backup integrati per i servizi HSM Cloud Luna e CipherTrust Key Management basati su cloud e per le appliance di crittografia di rete HSE che offrono opzioni di azzeramento.
Product review of SafeNet Trusted Access. Explore the options of authentication security that STA offers, to bridge the MFA, SSO and access management worlds in a single, well-integrated package. Discover how your business can bring security to access management.
In today’s ever increasing digital world, protecting critical data and ensuring the identity of those accessing data is essential. The standard measures once thought to be strong enough are simply insufficient when compared to the sophistication and persistence of today’s...
The crucial first step in privacy and data protection regulatory compliance is to understand what constitutes sensitive data, where it is stored, and how it is used. If you don't know what sensitive data you have, where it is, and why you have it, you cannot apply effective...
Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...
Safeguarding sensitive data requires much more than just securing a data center’s on-premises databases and files. The typical enterprise today uses three or more IaaS or PaaS providers, along with fifty or more SaaS applications, big data environments, container technologies,...
Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...
You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...
Secure your sensitive data and critical applications by storing, protecting and managing your cryptographic keys in Thales Luna Network Hardware Security Modules (HSMs) - high-assurance, tamper-resistant, network-attached appliances offering market-leading performance and...
Business critical data is flowing everywhere. The boundaries are long gone. As an enterprise-wide data security expert, you are being asked to protect your organization’s valuable assets by setting and implementing an enterprise-wide encryption strategy.IT security teams are...
Networks are under constant attack and sensitive assets continue to be exposed. More than ever, leveraging encryption is a vital mandate for addressing threats to data as it crosses networks. Thales High Speed Encryption solutions provide customers with a single platform to ...
Forse lo standard sulla privacy dei dati più completo fino ad oggi, il GDPR interessa qualsiasi organizzazione che elabora i dati personali dei cittadini dell'UE, indipendentemente da dove ha sede l'organizzazione.
Qualsiasi organizzazione che svolge un ruolo nell'elaborazione dei pagamenti con carta di credito e debito deve rispettare i severi requisiti di conformità PCI DSS per l'elaborazione, l'archiviazione e la trasmissione dei dati dell'account.
I requisiti di notifica della violazione dei dati a seguito della perdita di informazioni personali sono stati adottati dalle nazioni in tutto il mondo. Variano in base alla giurisdizione, ma includono quasi universalmente una clausola di "approdo sicuro".
