Conformidade da segurança dos dados com a norma prudencial CPS234 da APRA
na Austrália

Resumo da norma

O objetivo da Autoridade Australiana de Regulamentação Prudencial (APRA) é garantir a proteção dos interesses financeiros dos australianos e a estabilidade, competitividade e eficiência do sistema financeiro. As presentes Diretrizes Práticas Prudenciais (PPG) visa as áreas em que continuam a ser identificadas fragilidades na gestão da segurança da informação no âmbito das atividades de supervisão continuadas da APRA. Destina-se igualmente a fornecer orientações no que diz respeito à aplicação da Norma Prudencial de Segurança da Informação CPS 234 (CPS 234), com as principais secções abaixo:

• Considerações para o conselho de administração
• Funções e responsabilidades
• Capacidade de segurança da informação
• Quadro de políticas
• Identificação e classificação dos ativos de informação
• Implementação dos controlos
• Gestão de incidentes
• Teste da eficácia dos controlos
• Auditoria interna

Quem tem de cumprir a norma CPS234?
A CPS234 aplica-se às entidades reguladas pela APRA, nomeadamente:

• Instituições autorizadas a receber depósitos (ADI), incluindo ADI estrangeiras, cooperativas de crédito e bancos
• Seguradoras gerais
• Sociedades de seguros de vida e sociedades mútuas
• Companhias privadas de seguros de saúde
• Sociedades gestoras de participações financeiras inoperacionais
• Fundos de pensões

A Thales ajuda as organizações cumprir com a CPS234 ao abordar as Diretrizes de Práticas Prudenciais (PPG) da APRA em matéria de Capacidade de Segurança da Informação, Estrutura de Políticas, Identificação e classificação de ativos de informação, implementação de controlos e gestão de incidentes.

CAPACIDADE DE SEGURANÇA DA INFORMAÇÃO
Diretrizes 18: Capacidade de terceiros e partes relacionadas

• Com a CipherTrust Data Security Platform (CDSP), os administradores podem criar uma forte separação de deveres entre administradores com privilégios e proprietários de dados e podem aplicar políticas de gestão de acesso muito granulares e de utilizadores com menos privilégios, permitindo a proteção de dados contra a utilização indevida por utilizadores privilegiados.
• O CipherTrust Transparent Encryption oferece uma separação completa das funções administrativas, para que apenas os utilizadores e processos autorizados possam ver os dados não encriptados.
• A capacidade de autorização de granularidade fina da OneWelcome Identity Platform da Thales ajuda as organizações ao fornecer a quantidade certa de acesso às pessoas certas no momento certo.

QUADRO DE POLÍTICAS
Diretrizes 21 – Uma hierarquia de políticas baseada num conjunto de princípios fundamentais

• A OneWelcome Identity Platform da Thales permite às organizações associar dispositivos e outras identidades digitais a contas principais, autenticar, autorizar, recolher e armazenar informações sobre identidades externas e internas de vários domínios.
• Os cartões inteligentes SafeNet IDPrime podem ser utilizados para implementar o acesso físico a instalações sensíveis. Estes cartões inteligentes podem também melhorar as iniciativas de autenticação sem palavra-passe dependentes das tecnologias PKI e FIDO.
• O CipherTrust Transparent Encryption protege os dados com encriptação de dados em repouso ao nível dos ficheiros e dos volumes, controlos de acesso e registo de auditorias de acesso aos dados, sem necessidade de reestruturar as aplicações, as bases de dados ou a infraestrutura, com a funcionalidade MFA a limitar os dados confidenciais dos utilizadores com privilégios.
• Os Hardware Security Modules Luna da Thales (HSM) fornecem o mais alto nível de segurança de encriptação, pois armazenam sempre as chaves criptográficas em hardware.
• O CipherTrust Manager gere as tarefas do ciclo de vida das chaves, incluindo a geração, rotação, destruição, importação e exportação, fornece controlo de acesso às chaves e políticas com base em funções, suporta auditorias e relatórios robustos e oferece uma API REST de fácil utilização para o programador. É compatível com autenticação de dois fatores para acesso administrativo.
• A pista de auditoria da CipherTrust Data Security Platform permite que os proprietários e auditores de risco avaliem e demonstrem conformidade com o quadro de políticas de segurança da informação. O CipherTrust Transparent Encryption (CTE) fornece registos de auditoria de acesso a dados detalhados e o CipherTrust Security Intelligence (CSI) com registos e relatórios para simplificar os relatórios de conformidade e acelerar a deteção de ameaças utilizando os principais sistemas de Gestão de Informações e Eventos da Segurança (SIEM, Security Information and Event Management).

IDENTIFICAÇÃO E CLASSIFICAÇÃO DOS ATIVOS DE INFORMAÇÃO
Diretrizes 26 – Classificação de todos os ativos de informação por importância e nível de confidencialidade

• Classifique todos os ativos de informações por importância e nível de confidencialidade com o CipherTrust Data Discovery and Classification, que oferece visibilidade completa dos seus dados confidenciais com descoberta de dados, classificação e análise de risco eficientes nas formas de armazenamentos de dados heterogéneos — na nuvem, big data e ambientes tradicionais — da sua empresa.

IMPLEMENTAÇÃO DOS CONTROLOS
Diretrizes 36 – Controlos de segurança da informação implementados em todas as fases

• As soluções de gestão de identidade e acesso OneWelcome da Thales limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto, com autenticação forte (MFA), políticas de acesso granular e políticas de autorização de granularidade fina. A solução também facilita a gestão da identidade de dispositivos IoT externos através da especificação OAuth2 Device Flow. Os dispositivos ligados à Web e com restrições de entrada do utilizador podem ser associados a contas de identidade de utilizador geridas por inquilinos do OneWelcome.
• Os cartões inteligentes SafeNet IDPrime podem ser utilizados para implementar o acesso físico a instalações sensíveis. Estes cartões inteligentes podem também melhorar as iniciativas de autenticação sem palavra-passe dependentes das tecnologias PKI e FIDO.
• A assinatura digital para uma vasta gama de aplicações com Hardware security modules (HSM) protege as chaves privadas utilizadas para assinaturas eletrónicas seguras; aumenta a segurança e garante a conformidade.
• A CipherTrust Data Security Platform oferece vários recursos para proteger dados em repouso em ficheiros, volumes e bases de dados através do CipherTrust Transparent Encryption e CipherTrust Tokenization.
• O CipherTrust Transparent Encryption encripta dados confidenciais e aplica políticas granulares de gestão de acesso para utilizadores com privilégios que podem ser aplicadas por utilizador, processo, tipo de ficheiro, hora do dia e outros parâmetros.
• O CipherTrust Manager gere centralmente chaves de encriptação e configura políticas de segurança para que as empresas possam controlar e proteger dados confidenciais com a separação de funções. Simplifica e reforça a gestão de chaves em ambientes empresariais num conjunto diversificado de casos de utilização. 

Diretrizes 44 – MINIMIZAR A EXPOSIÇÃO AOS PIORES CENÁRIOS PLAUSÍVEIS

• Os Hardware security modules (HSM) salvaguardam as chaves criptográficas utilizadas para proteger aplicações e dados confidenciais, melhorando a segurança e garantindo a conformidade.
• A CipherTrust Data Security Platform pode aplicar políticas muito granulares de gestão de acesso para utilizadores menos privilegiados, permitindo a proteção de dados contra a utilização indevida por utilizadores com privilégios e invasores.
  • O CipherTrust Transparent Encryption encripta ficheiros, deixando os seus metadados livres. Assim, os administradores de TI executam as suas tarefas de administração de sistemas, sem obterem acesso privilegiado aos dados confidenciais que residem nos sistemas que gerem.
  • O CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) monitoriza de forma contínua os processos no que diz respeito a atividades anormais de E/S e alerta ou bloqueia a atividade maliciosa antes que o ransomware se possa apoderar completamente dos seus terminais e servidores.
  • O CipherTrust Manager oferece administração e controlo de acesso centralizados, que unificam as principais operações de gestão com controlos de acesso baseados em funções que impedem alterações não autorizadas de palavras-passe e alertam sobre inícios de sessão simultâneos do mesmo utilizador.
• A OneWelcome Identity Platform da Thales permite que as organizações limitem virtualmente (ou logicamente) o acesso a recursos confidenciais através da utilização de MFA (incluindo autenticação resistente a phishing) e políticas de acesso granular. Os cartões inteligentes SafeNet IDPrime podem ser utilizados para implementar o acesso físico a instalações sensíveis.

Diretrizes 46 (b) — CONTROLOS FÍSICOS E AMBIENTAIS

• Os cartões inteligentes SafeNet IDPrime podem ser utilizados para implementar o acesso físico a instalações sensíveis. Estes cartões inteligentes podem também melhorar as iniciativas de autenticação sem palavra-passe dependentes das tecnologias PKI e FIDO.

Diretrizes 54 – TÉCNICAS DE CRIPTOGRAFIA PARA RESTRINGIR O ACESSO; Diretrizes 56 – SOLUÇÕES TECNOLÓGICAS DE SEGURANÇA DA INFORMAÇÃO; e Diretrizes 58 – SOFTWARE DESENVOLVIDO/CONFIGURADO PELO UTILIZADOR FINAL

• Os Hardware security modules (HSM) fornecem o mais elevado nível de segurança de encriptação, armazenando sempre as chaves criptográficas em hardware, e oferecem fortes controlos de acesso para impedir que utilizadores não autorizados acedam a material criptográfico confidencial.
• O portfólio de formatos de autenticação baseados em certificados da Thales oferece uma forte autenticação multifator, permitindo que as organizações atendam às suas necessidades de segurança de PKI.

Proteger os dados em movimento/trânsito

• Os High Speed Encryptors (HSE) da Thalesfornecem encriptação de dados em movimento/trânsito independente da rede (camadas 2, 3 e 4), garantindo que os dados estão seguros à medida que se deslocam de um local para outro ou do local para a nuvem e vice-versa.
• O CipherTrust Manager gere centralmente chaves de encriptação e configura políticas de segurança para que as empresas possam controlar e proteger dados confidenciais com a separação de funções.

Proteger os dados em utilização

• O CipherTrust Vaultless Tokenization protege os dados em repouso, enquanto o seu recurso de mascaramento dinâmico dos dados, baseado em políticas, protege os dados em utilização. Uma API RESTful combinada com gestão e serviços centralizados permite a implementação de tokenização com uma única linha de código por campo.

Proteger os dados em repouso

• A CipherTrust Data Security Platform protege e audita a integridade dos registos e informações dos clientes contra uma vasta gama de ameaças aos dados.Protege os dados em repouso através da utilização do CipherTrust Transparent Encryption para encriptação de dados em repouso ao nível de ficheiros e volumes, do CipherTrust Tokenization para tokenização de bases de dados e segurança de visualização dinâmica, bem como com a utilização do CipherTrust Application Data Protection.

GESTÃO DE INCIDENTES – DETEÇÃO DE COMPROMISSOS DE SEGURANÇA
Diretrizes 69

• Com a CipherTrust Data Security Platform, os administradores podem criar uma forte separação de funções entre administradores privilegiados e proprietários de dados.Além disso, o CipherTrust Manager utiliza autenticação de dois fatores para acesso administrativo.
• A OneWelcome Identity Platform da Thales permite que as organizações limitem virtualmente (ou logicamente) o acesso a recursos confidenciais através da utilização de MFA (incluindo autenticação resistente a phishing) e políticas de acesso granular com relatórios de análise. Acompanha os eventos de identidade e fornece relatórios de análise.

Anexo A: Princípios de segurança 1. (a)

• O CipherTrust Manager oferece administração e controlo de acesso centralizados, que unificam as principais operações de gestão com controlos de acesso baseados em funções.
• Os Hardware security modules (HSM) salvaguardam as chaves criptográficas utilizadas para proteger as aplicações e os dados confidenciais, reforçam ainda mais a segurança e garantem a conformidade com uma camada adicional de proteção.

Anexo A: Princípios de segurança 1. (e)

• A plataforma de identidade OneWelcome da Thales permite às organizações identificar e autenticar utilizadores internos e externos, gerir eficazmente a identidade de terceiros com a sua capacidade de gestão de delegações e mitigar os riscos de terceiros, bem como fornecer uma pista de auditoria imediata e atualizada de todos os eventos de acesso a todos os sistemas.
• Depois de um utilizador ser identificado, é possível controlar e coordenar a forma como os utilizadores obtêm acesso aos ativos e o que podem fazer com os respetivos ativos com a CipherTrust Enterprise Key Management Solution.

Anexo C: Identidade e acesso

• As soluções de gestão de identidade e acesso OneWelcome da Thales limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto.
• Os cartões inteligentes SafeNet IDPrime podem ser utilizados para implementar o acesso físico a instalações sensíveis.

Anexo E: Técnicas de criptografia

• Os HSM Luna da Thales fornecem um ambiente reforçado e inviolável para processamento criptográfico seguro, geração e proteção de chaves, encriptação e muito mais.
• A CipherTrust Data Security Platform pode aplicar políticas muito granulares de gestão de acesso para utilizadores menos privilegiados, permitindo a proteção de dados contra a utilização indevida por utilizadores com privilégios e invasores.