Diretrizes para a Segurança da Informação e Cibernética (ICS) 2023
A digitalização iniciada pelo governo indiano em 2017 e os acordos de trabalho à distância durante a COVID-19 marcaram uma mudança na forma de tratamento e processamento de dados pelo sector dos seguros indiano. Com a evolução do panorama da cibersegurança, a Autoridade Reguladora e de Desenvolvimento de Seguros da Índia (IRDAI) introduziu as Orientações sobre Informação e Cibersegurança (ICS) 2023 em 24 de abril de 2023, que substituíram as Orientações de 2017.
Como uma das líderes em segurança de dados, a Thales permite que as organizações do sector dos seguros cumpram as Diretrizes ICS em 6 domínios das políticas de segurança, recomendando as tecnologias adequadas de segurança de dados e gestão de identidade.
Visão geral da regulamentação
A tónica principal das Orientações sobre Segurança Informática e Cibernética (ICS) 2023 é uma abordagem de segurança centrada nos dados - proteger os próprios dados e não apenas a rede ou o sistema em que estão armazenados. As Orientações ICS 2023 também obrigam as Entidades Reguladas (ER) a adotar uma abordagem baseada no risco, a tomar as medidas necessárias para garantir a gestão de dados e a atenuar as ciberameaças contra a perda, utilização indevida ou fuga de informações sensíveis dos clientes sob qualquer forma.
Quais empresas estão sujeitas às Diretrizes ICS?
As Diretrizes ICS 2023 aplicam-se a todos os intermediários de seguros, incluindo corretores, empresas de resseguro estrangeiras (FRB), agentes empresariais, agregadores web, administradores terceiros (TPA), empresas de comercialização de seguros (IMF), repositórios de seguros, plataformas de auto-rede de seguros (ISNP), inspectores empresariais, prestadores de serviços de seguro automóvel (MISP), centros de serviços comuns (CSC) e o Gabinete de Informação sobre Seguros da Índia (IIB) (coletivamente com as seguradoras, as "Entidades Regulamentadas").
Conformidade ICS
A Thales ajuda as organizações do sector segurador indiano a cumprir as Diretrizes de Segurança Informática e Cibernética 2023, abordando 6 domínio das políticas de segurança.
Políticas dos domínios da segurança | Soluções da Thales |
|---|---|
2.1 Classificação dos dados | |
3.3 Processo de classificação de dados: | O CipherTrust Data Discovery and Classification identifica dados confidenciais estruturados e não estruturados no local e na nuvem. Os modelos incorporados permitem a rápida identificação de dados regulamentados, destacam os riscos de segurança e ajudam a descobrir lacunas na conformidade. O Data Security Fabric monitoriza os dados a partir de um ponto de vista unificado para auditoria em diversas plataformas no local e na nuvem, fornecendo supervisão para bases de dados relacionais, bases de dados NoSQL, mainframes, plataformas de big data e armazéns de dados. A atividade detalhada de dados estruturados e não estruturados é capturada automaticamente, facilitando o cumprimento dos pedidos de auditoria. |
3.4.1.2 e 3.4.2.2 Requisitos de armazenamento 3.4.1.3 e 3.4.2.3 Requisitos de transferência | O CipherTrust Transparent Encryption fornece encriptação de dados em repouso com gestão centralizada de chaves e controlo de acesso de utilizadores privilegiados. Proporciona uma separação completa de funções, em que apenas os utilizadores e processos autorizados podem visualizar dados não encriptados. O CipherTrust Tokenization com mascaramento dinâmico de dados permite a pseudonimização de informações confidenciais em bancos de dados, mantendo a capacidade de analisar dados agregados sem expor dados confidenciais durante a análise ou em relatórios. O CipherTrust Enterprise Key Management simplifica e fortalece o gerenciamento de chaves em ambientes de nuvem e empresariais em um conjunto diversificado de casos de uso. Além disso, as informações encriptadas podem ser efetivamente apagadas através da destruição das chaves de encriptação. |
2.2 Gestão de activos | |
3.1 Perfil dos activos de informação 3.2.2.1 Etiquetagem de activos 3.2.2.2 Inventário e documentação dos activos | O CipherTrust Data Discovery and Classification identifica dados confidenciais estruturados e não estruturados no local e na nuvem. Os modelos incorporados permitem a rápida identificação de dados regulamentados, destacam os riscos de segurança e ajudam a descobrir lacunas na conformidade. |
3.2.2.3 Inventário de autorização 3.2.3 Utilização de activos | O CipherTrust Secrets Management é uma solução de gestão de segredos de última geração, que protege e automatiza o acesso a segredos em ferramentas DevOps e cargas de trabalho na nuvem, incluindo segredos, credenciais, certificados, chaves de API e tokens. Combinar a gestão de segredos com a gestão de chaves é como ter um cofre fortificado para todos os seus bens valiosos num único local para controlo de inventário. |
3.2.6 Alienação de activos | O CipherTrust Enterprise Key Management garante a eliminação segura de activos. Através da utilização de dispositivos virtuais ou de hardware compatíveis com FIPS 140-2, as ferramentas e soluções de gestão de chaves da Thales oferecem elevada segurança a ambientes sensíveis e centralizam a gestão de chaves para encriptação interna, bem como para aplicações de terceiros. |
2.3 Controlo de acesso | |
3.3 Criação e manutenção de ID de utilizador 3.5 Contas de utilizadores privilegiados | As soluções de gestão de identidade e acesso OneWelcome da Thales limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto. Com o apoio de uma autenticação forte (MFA), as políticas de acesso granular e as políticas de autorização refinadas ajudam a garantir que o utilizador certo tem acesso ao recurso certo no momento certo. Isto minimiza o risco de acesso não autorizado. O SafeNet Trusted Access (STA) é uma solução de gestão de acesso baseada na nuvem que facilita a gestão do acesso a serviços na nuvem e a aplicações empresariais com uma plataforma integrada que combina o início de sessão único, a autenticação multi-fator (MFA) e políticas de acesso baseadas em cenários. Fornece uma visão de painel único dos eventos de acesso em todo o seu parque de aplicações para garantir que o utilizador certo tem acesso à aplicação certa com o nível certo de confiança. |
2.16 Monitorização, registo e avaliação | |
3.3 Registo e monitorização dos sistemas de informação | O CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) monitora continuamente os processos em busca de atividades anormais e alerta ou bloqueia atividades maliciosas. Monitoriza os processos activos para identificar actividades como o acesso excessivo a dados, a exfiltração, a encriptação não autorizada ou a representação maliciosa de um utilizador, e alerta/bloqueia quando tal atividade é detectada. |
2.12 Controlos criptográficos | |
3.1 Utilização de controlos criptográficos | O CipherTrust Secrets Management é uma solução de gestão de segredos de última geração que protege e automatiza o acesso a segredos através de ferramentas DevOps e cargas de trabalho em nuvem, incluindo segredos, credenciais, certificados, chaves API e tokens, garantindo assim que todas as informações de autenticação estáticas ou reutilizáveis sejam encriptadas durante o armazenamento e durante a utilização. |
3.2 Gestão de chaves | O CipherTrust Manager permite que as empresas gerenciem centralmente chaves de criptografia, forneçam controlo de acesso granular e configurem políticas de segurança. O CipherTrust Manager é o ponto de gestão central para a CipherTrust Data Security Platform e gere as tarefas do ciclo de vida das chaves, fornece controlo de acesso a chaves e políticas com base em funções, suporta auditorias e relatórios robustos e oferece uma API REST de fácil utilização para o programador. Os módulos de segurança de hardware (HSM) Luna da Thales protegem as chaves criptográficas e fornecem um ambiente FIPS 140-3 de nível 3 reforçado e inviolável para processamento criptográfico seguro, geração e proteção de chaves, encriptação e muito mais. Os HSM Luna estão disponíveis no local, na nuvem como um serviço e em ambientes híbridos. |
2.19 Segurança na nuvem | |
3.4.7 Encriptação | O CipherTrust Enterprise Key Management simplifica e fortalece a gestão de chaves em ambientes empresariais e de nuvem, além de oferecer alta segurança para ambientes sensíveis e centralizar a gestão de chaves para criptografia doméstica, suportando KMIP e aplicações de terceiros. O CipherTrust Cloud Key Management permite que as organizações separem as chaves dos dados armazenados na nuvem, impedindo o acesso não autorizado aos dados pelo fornecedor de serviços cloud. Ao utilizar a tecnologia Hold-Your-Own-Key (HYOK), as organizações mantêm o controlo total e a propriedade dos seus dados, controlando o acesso às chaves de encriptação. |
3.4.8 Segurança das aplicações | A plataforma CipherTrust Data Security oferece vários recursos para segurança de aplicações. Incluindo:
|
Recursos relacionados
Outros regulamentos importantes em matéria de segurança e proteção de dados
PCI HSM
MANDATO | EM VIGOR
A especificação PCI HSM define um conjunto de normas de conformidade lógica e física de segurança para HSMs especificamente para o setor de pagamentos. A certificação de conformidade com o PCI HSM depende do cumprimento dessas normas.
DORA
REGULAMENTO | EM VIGOR
O DORA visa reforçar a segurança informática das entidades financeiras para garantir que o sector financeiro na Europa seja resiliente face ao crescente volume e gravidade dos ciberataques.
Leis de notificação de violação de dados
REGULAMENTO | EM VIGOR
Os requisitos de notificação de violação de dados na sequência da perda de informações pessoais foram adoptados por países de todo o mundo. Estes variam consoante à jurisdição, mas quase sempre incluem uma cláusula de "porto seguro".
GLBA
REGULAMENTO | EM VIGOR
A Lei Gramm-Leach-Bliley (GLBA) — também conhecida como a Lei de Modernização dos Serviços Financeiros de 1999 — exige que as instituições financeiras expliquem aos seus clientes as suas práticas de partilha de informações e salvaguardem dados confidenciais.