Thales banner

인도에서 클라우드 서비스 도입을 위한 프레임워크 준수

인도의 규제 대상 법인에 대한 보안 및 규정 준수를 위한 기본 표준

인도 증권거래위원회(SEBI)의 클라우드 서비스 도입을 위한 프레임워크

테스트

인도 증권거래위원회(SEBI)는 2023년 3월 6일 SEBI 규제 대상 법인(RE)의 클라우드 서비스 채택을 위한 프레임워크(공람 번호: SEBI/HO/ITD/ITD_VAPT/P/CIR/2023/033)를 발표했으며, 이는 보안 및 규제 준수를 위한 기본 표준을 설정하기 위한 것입니다. 이 프레임워크는 클라우드 컴퓨팅에 대한 SEBI의 기존 가이드라인에 중요한 추가 사항으로, RE가 안전하고 규정을 준수하는 클라우드 채택 관행을 구현하는 데 도움이 되도록 설계되었습니다.

이 프레임워크의 주요 목적은 규제 대상 법인(RE)이 클라우드 컴퓨팅을 도입하기 전에 마련해야 하는 주요 위험과 필수 제어 조치를 강조하는 것입니다. 또한 이 프레임워크는 RE가 이러한 솔루션을 채택할 경우 준수해야 할 규제 및 법적 사항을 명시하고 있습니다.

탈레스는 보안 제어 및 집중 위험 관리 원칙에 중점을 두고 조직이 클라우드 서비스 도입 프레임워크를 해결할 수 있는 통합 솔루션을 제공합니다.

  • 규정
  • 규정 준수

규정 개요

클라우드 서비스 채택 프레임워크에 대한 이 공람 지침은 RE가 위험 관리 전략을 개발할 때 참고할 수 있도록 퍼블릭 클라우드 서비스 고유의 위험에 대해 설명합니다. 또한 클라우드 관련 위협을 완화하기 위한 몇 가지 모범 사례에 대해서도 설명합니다. RE가 공람 지침에서 권장하는 대로 적절한 보안 조치를 수립하지 않으면 클라우드에 저장된 데이터가 악의적인 행위자에 의해 유출될 위험이 있으며, 이로 인한 보안 사고는 RE의 운영 연속성 유지 및 법적 의무 이행 능력에 영향을 미칠 수 있습니다.

이 프레임워크는 아래 주제의 9가지 주요 측면을 다루는 원칙 기반 프레임워크입니다:

  • 퍼블릭 클라우드 서비스의 고유한 특성을 고려한 퍼블릭 클라우드 위험 관리 전략의 개발;
  • 사이버 보안, 데이터 보호 및 암호키 관리와 같은 영역에서 강력한 제어 구현
  • 퍼블릭 클라우드 워크로드 보안을 포함하도록 사이버 보안 운영 확장
  • 클라우드 복원력, 아웃소싱, 공급업체 종속 및 집중 위험 관리
  • 직원이 퍼블릭 클라우드 워크로드 및 위험을 관리할 수 있는 기술을 갖추도록 함.

SEBI 규제 대상 법인(RE)의 클라우드 서비스 채택을 위한 프레임워크는 2023년 3월 6일에 도입되었습니다. 이 프레임워크는 기존의 SEBI 공람/지침/권고에 추가되며, RE의 모든 신규 또는 제안된 클라우드 온보딩 과제/프로젝트에 대해 즉시 적용됩니다. 현재 클라우드 서비스를 이용 중인 RE는 해당되는 경우 모든 약정을 개정하고 12개월 이내에 프레임워크를 준수해야 합니다.

탈레스는 보안 제어 및 집중 위험 관리 원칙에 중점을 두고 조직이 클라우드 서비스 도입 프레임워크를 해결할 수 있는 통합 솔루션을 제공합니다.

저장 중인 데이터 보호

탈레스는 클라우드 서비스 제공업체(CSP)가 제공하는 기본 암호화와 공존할 수 있는 미사용 데이터에 대한 다양한 솔루션을 제공합니다.

이동 중인 데이터 보호

탈레스 고속 네트워크 암호화(HSE) 솔루션은 데이터 센터와 본사, 지사 및 위성 사무소, 백업 및 재해 복구 사이트, 온프레미스 및 클라우드 간에 네트워크를 통해 이동하는 데이터를 보호합니다.

CipherTrust Transparent Encryption은 메타 데이터를 안전하게 유지하면서 파일을 암호화합니다. 이러한 방식으로 CSP는 관리하는 시스템에 있는 민감한 데이터에 대한 권한 있는 액세스 권한을 얻지 않고도 시스템 관리 작업을 수행할 수 있습니다.

 

BYOE(Bring Your Own Encryption) 및 BYOK(Bring Your Own Key) 도입

CipherTrust Cloud Key Manager는 단일 인터페이스에서 여러 클라우드 인프라와 SaaS 애플리케이션에 걸쳐 BYOK(Bring Your Own Key) 및 HYOK(Hold Your Own Key) 사용 사례를 지원합니다. 키에 대한 감사, 강력한 키 생성, 엔드투엔드 키 수명 주기 관리와 함께 클라우드 제공업체의 관리형 키 관리 시스템(KMS)에서는 사용할 수 없는 자동 키 교대, 복구 및 키 해지 기능을 제공합니다.

BYOK(Bring Your Own Key) 및 HYOK(Hold Your Own Key)는 암호키에 대한 강력한 업무 분리를 제공하므로, RE는 키를 CSP에 위탁하는 대신 키를 계속 제어할 수 있습니다.

CipherTrust 투명 암호화는 Amazon S3, Azure 파일 등에 있는 데이터에 대한 투명한 암호화 및 액세스 제어를 제공합니다. 또한 고급 다중 클라우드 BYOE(Bring Your Own Encryption) 솔루션을 제공하여 암호화 측면에서 클라우드 공급업체에 종속되는 것을 방지하고 데이터 이동성을 보장하여 중앙 집중식, 독립적인 암호키 관리를 통해 여러 클라우드 공급업체에서 데이터를 효율적으로 보호합니다.

 

암호키 보호

탈레스 Luna 하드웨어 보안 모듈(HSM)을 사용하면 조직이 전용 하드웨어를 보유하여 클라우드 서비스 제공업체(CSP)가 아닌 전용 하드웨어를 통해 암호키를 더 강력하게 제어하고 소유할 수 있습니다.

 

CSP에 구애받지 않는 솔루션

CipherTrust Cloud Key Manager는 클라우드 서비스 공급자가 암호화한 데이터의 암호키 수명 주기에 대한 강력한 제어를 클라우드 소비자에게 제공하는 클라우드 키 관리와 클라우드 공급자의 BYOK 서비스 지원을 결합합니다.

탈레스 CipherTrust Transparent Encryption(CTE)CipherTrust Tokenization은 고급 다중 클라우드 BYOE(Bring Your Own Encryption) 솔루션을 제공하여 암호화 측면에서 클라우드 공급업체에 종속되는 것을 방지하고 데이터 이동성을 보장하여 중앙 집중식, 독립적인 암호키 관리를 통해 여러 클라우드 공급업체에서 데이터를 효율적으로 보호합니다.

추천 리소스

Addressing The Requirements of The Framework for Adoption of Cloud Services by SEBI Regulated Entities

Addressing The Requirements of The Framework for Adoption of Cloud Services by SEBI Regulated Entities - Compliance Brief

This framework is a crucial addition to SEBI’s existing guidelines on cloud computing and is designed to help REs implement secure and compliant cloud adoption practices in India.

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Best Practices for Cloud Data Protection and Key Management - White Paper

Best Practices for Cloud Data Protection and Key Management - White Paper

This paper describes security best practices for protecting sensitive data in the public cloud, and explains concepts such as BYOK, HYOK, Bring Your Own Encryption (BYOE), key brokering and Root of Trust (RoT). It explains the level of data protection that can be achieved by...

기타 주요 데이터 보호 및 보안 지침

GDPR

규제
활성화하기

아마도 현재까지 가장 포괄적인 데이터 개인 정보 보호 표준인 GDPR은 조직 본사의 위치에 관계없이 EU 시민의 개인 데이터를 처리하는 모든 조직에 영향을 미칩니다.

PCI DSS

규정
활성화하기

신용 카드 및 직불 카드 결제 처리를 하든 모든 조직은 계정 데이터의 처리, 저장 및 전송을 위한 엄격한 PCI DSS 규정 요구 사항을 준수해야 합니다.

데이터 침해 통지법

규제
활성화하기

개인정보 유출에 따른 데이터 침해 통보 요건은 전 세계 각국에 의해 제정되었습니다. 이는 지역에 따라 상이하지만 거의 보편적으로 "세이프 하버(safe harbour)" 조항을 포함하고 있습니다.