Conformità al Customer Security Controls Framework di SWIFT

Come riportato da Investopedia, SWIFT, la Society for Worldwide Interbank Financial Telecommunications, è una rete di messaggistica che le istituzioni finanziarie usano per trasmettere in modo sicuro informazioni e istruzioni attraverso un sistema standardizzato di codici.

Il Customer Security Controls (CSC) Framework di SWIFT

Secondo SWIFT¹:

Il Customer Security Controls Framework elenca per gli utenti di SWIFT una serie di controlli di sicurezza obbligatori e opzionali.

I controlli obbligatori costituiscono una baseline di sicurezza per l’intera comunità e devono essere quindi implementati da tutti gli utenti dell’infrastruttura SWIFT locale. SWIFT ha scelto di dare la priorità a questi controlli obbligatori per fissare un obiettivo realistico a breve termine, ottenere vantaggi tangibili in termini di sicurezza e garantire una riduzione dei rischi.

I controlli opzionali rappresentano best practice che SWIFT raccomanda a tutti i suoi clienti. Nel tempo, i controlli obbligatori potrebbero cambiare in funzione dell'evoluzione del panorama delle minacce, e alcuni controlli opzionali potrebbero diventare obbligatori.

Ogni controllo è strutturato in tre obiettivi generali:

1. Rendere sicuro l’ambiente
2. Conoscere e controllare gli accessi
3. Individuare e rispondere

Thales può aiutarti a raggiungere tutti e tre gli obiettivi.

1. https://www.swift.com/myswift/customer-security-programme-csp/security-controls

Thales può aiutarti a rispettare le sezioni seguenti del Framework CSC:

Sezione 1.2. “Applicare il controllo degli account privilegiati per i sistemi operativi”
Sezione 5. “Gestire identità e privilegi minimi”
Sezione 6. “Rilevare attività anomale all’interno di sistemi o record di transazioni”3

CipherTrust Data Security Platform

La CipherTrust Data Security Platform di Thales rende facile ed efficiente la gestione della sicurezza dei dati a riposo nell'intera azienda. La piattaforma si basa su un’infrastruttura flessibile e presenta svariati prodotti di sicurezza dei dati che possono essere distribuiti individualmente o in combinazione per fornire soluzioni avanzate di crittografia, tokenizzazione e gestione centralizzata delle chiavi. Questa soluzione di sicurezza dei dati prepara la tua azienda ad affrontare le prossime sfide relative alla sicurezza e ai nuovi requisiti di compliance a costi d’acquisto contenuti.

Controllo degli accessi ai dati

• Separazione di utenti con accesso privilegiato e dati sensibili Grazie alla CipherTrust Data Security Platform, gli amministratori possono garantire una separazione completa delle responsabilità tra gli amministratori privilegiati e i titolari dei dati. La CipherTrust Data Security Platform crittografa i file lasciando in chiaro i loro metadati. In questo modo gli amministratori IT (inclusi gli amministratori di hypervisor, cloud, archivi e server) possono eseguire le proprie attività di amministrazione del sistema senza ottenere l’accesso ai dati sensibili che si trovano nei sistemi che gestiscono.
• Separazione delle responsabilità amministrative. È possibile implementare solidi criteri di separazione delle responsabilità per garantire che un unico amministratore non detenga il controllo completo su attività di sicurezza dei dati, chiavi di crittografia o amministrazione. Inoltre, CipherTrust Manager supporta un’autenticazione a due fattori per l'accesso amministrativo.
• Controlli granulari degli accessi privilegiati. La soluzione di Thales può implementare criteri di gestione degli accessi molto granulari secondo il principio del privilegio minimo, garantendo la protezione dei dati contro utilizzi impropri da parte di utenti privilegiati e attacchi esterni. I criteri granulari di gestione degli accessi ai dati da parte degli utenti privilegiati possono essere implementati in base a utente, processo, tipo di file, ora del giorno e altri parametri. Le opzioni di implementazione sono molto granulari: possono controllare non solo il permesso di accesso a dati con testo in chiaro, ma anche i comandi a livello di file system disponibili all’utente.

Registri di security intelligence

Le registrazioni dettagliate degli accessi ai dati di CipherTrust Transparent Encryption sono utili non solo per mantenere la conformità, ma anche per identificare tentativi di accesso non autorizzato e per creare modelli di accesso degli utenti autorizzati. CipherTrust Security Intelligence completa il quadro grazie alla sua integrazione predefinita con sistemi SIEM (Security Information and Event Management) leader di mercato che rendono queste informazioni fruibili. La soluzione consente un'immediata escalation automatizzata e la possibilità di reagire a tentativi di accesso non autorizzati, e mette inoltre a disposizione tutti i dati utili per creare i modelli comportamentali necessari per identificare utilizzi sospetti da parte di utenti autorizzati.