Conformidade da segurança dos dados com as Diretivas de Externalização de Serviços de Tecnologias da Informação na Índia

A Thales ajuda as entidades regulamentadas a cumprir as diretivas, abordando o requisito de Utilização de Serviços de Computação em Nuvem.

Banco Central da Índia - Diretivas de Externalização de Serviços de Tecnologias da Informação de 2023

As Entidades Regulamentadas (ER) indianas têm vindo a tirar grande partido das tecnologias da informação (TI) e dos serviços baseados nas TI (ITeS) para apoiar os seus modelos de negócio, produtos e serviços oferecidos aos seus clientes. As ER também subcontratam uma parte substancial das suas actividades informáticas a terceiros, o que as expõe a vários riscos.

Para garantir uma gestão eficaz dos riscos associados, o Banco da Reserva da Índia (RBI) finalizou as Diretivas relativas à externalização dos serviços de tecnologias da informação, 2023, em 10 de abril de 2023, que entrarão em vigor a partir de 1 de outubro de 2023.

Como um dos líderes em segurança de dados, a Thales permite que as ERs cumpram o controlo sobre a utilização de serviços de computação em nuvem das Direcções.

APAC

Visão geral da regulamentação

As diretivas do RBI relativas à externalização dos serviços de tecnologias da informação prescreveram 9 pontos de controlo com anexos sobre a utilização de serviços de computação em nuvem, a externalização do centro de operações de segurança e os serviços não considerados no âmbito da externalização de serviços de TI.

Quais organizações estão sujeitas às diretivas?

  • Schedule Commercial Bank, incluindo os bancos estrangeiros estabelecidos na Índia, os bancos locais, os bancos de pequeno montante e os bancos de pagamentos, mas excluindo os bancos rurais regionais;
  • Bancos cooperativos primários (urbanos), com exceção dos bancos cooperativos urbanos de nível 1 e de nível 2;
  • Sociedades de Informação de Crédito (CIC);
  • Sociedades Financeiras Não Bancárias ("NBFC"); e
  • Todas as instituições financeiras da Índia (EXIM Bank, NABARD, NaBFID, NHB e SIDBI).

Quando é que as diretivas serão aplicadas?

O RBI concedeu às ER um prazo máximo de doze meses a contar da data de emissão das Orientações para reexaminarem os seus acordos de externalização e cumprirem os requisitos incluídos nas Orientações, se essas renovações forem devidas antes de 1 de outubro de 2023, e ofereceu trinta e seis meses a contar da data de emissão das Orientações, se os seus acordos tiverem de ser renovados após 1 de outubro de 2023.

Definições

  • Subcontratação material de serviços de TI
    A expressão "subcontratação material de serviços de TI" significa qualquer serviço que "se for interrompido ou comprometido, poderá ter um impacto significativo nas operações comerciais da ER"; ou "pode ter um impacto material nos clientes da ER em caso de acesso não autorizado, perda ou roubo de informações dos clientes"
  • Externalização de serviços informáticos inclui a externalização das seguintes actividades:
    • Gestão, manutenção e apoio de infraestruturas informáticas (hardware, software ou firmware);
    • Soluções de rede e de segurança, manutenção (hardware, software ou firmware);
    • Desenvolvimento, manutenção e teste de aplicações; fornecedores de serviços de aplicações (ASP), incluindo ASP de comutadores ATM;
    • Serviços e operações relacionados com os centros de dados;
    • Serviços de computação em nuvem; e
    • Gestão das infraestruturas informáticas e dos serviços tecnológicos associados ao ecossistema dos sistemas de pagamento.

Os restantes serviços que não sejam considerados como externalização de serviços informáticos ou que estejam incluídos no apêndice III serão considerados como externalização de serviços financeiros e não serão abrangidos pelas presentes diretivas relativas à externalização de serviços informáticos.

Conformidade ICS

A Thales ajuda as ERs a cumprir as Diretivas de Outsourcing de Serviços de TI 2023, abordando dois dos controlos e o requisito de Utilização de Serviços de Computação em Nuvem.

As direcções

Soluções da Thales

Capítulo - VI: Gestão dos riscos | 17. Enquadramento da gestão do risco

 

(e) "...As ER devem procurar assegurar a preservação e a proteção da segurança e da confidencialidade das informações dos clientes sob a custódia ou na posse do prestador de serviços..."

(f) "a ER continua a ser responsável por compreender e monitorizar o ambiente de controlo de todos os prestadores de serviços que têm acesso aos dados, sistemas, registos ou recursos da ER..."

A plataforma CipherTrust Data Security é um conjunto integrado de produtos e soluções de segurança centrados em dados que unificam a descoberta, proteção e controlo de dados em uma única plataforma. A plataforma CipherTrust oferece vários recursos para proteger dados em repouso em arquivos, volumes e bancos de dados. Incluindo:

  • CipherTrust Transparent Encryption gestão centralizado de chaves, controlo de acesso de usuário privilegiado e registro detalhado de auditoria de dados para proteção de dados.

Data Security Fabric fornece uma visão unificada dos dados em várias plataformas, permitindo a auditoria em armazéns relacionais, NoSQL, mainframe, big data e de dados.

(i) "... analisar e monitorizar os processos de controlo e as práticas de segurança do prestador de serviços para revelar violações da segurança..."

CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) detecta atividades anormais de E/S, alerta ou bloqueia atividades maliciosas e impede que o ransomware ganhe controlo de terminais e servidores.

Imperva Data Security Fabric Threat Detection monitoriza o acesso e a atividade dos dados, proporcionando visibilidade para identificar o acesso arriscado aos dados por parte de todos os utilizadores, incluindo os privilegiados. Fornece alertas em tempo real, bloqueio de violações de políticas e retenção de dados rentável para auditorias.

Capítulo - X: Estratégia de saída

 

b) "... remoção/destruição segura de dados, hardware e todos os registos (digitais e físicos), conforme aplicável..."

O CipherTrust Enterprise Key Management simplifica e fortalece a gestão de chaves em ambientes empresariais e de nuvem, permitindo que as ERs excluam efetivamente informações criptografadas gerenciadas por CSPs.

Apêndice - I | Utilização de serviços de computação em nuvem

 

3. "A segurança na nuvem é uma responsabilidade partilhada entre a ER e o fornecedor de serviços na nuvem (CSP). As ER podem referir-se a algumas das melhores práticas de segurança na nuvem, para implementar os controlos necessários..."

As ERs podem assumir o controlo da sua segurança na nuvem e melhorar a visibilidade com o CipherTrust Cloud Key Management (CCKM) da Thales. O CCKM oferece uma visualização de painel único para utilizadores nativos da nuvem, garantindo a proteção do tempo e dos dados. Suporta casos de utilização BYOK (Bring Your Own Key) em várias infraestruturas de nuvem e aplicações SaaS.

O Hold Your Own Key (HYOK) aumenta o controlo das ER sobre as chaves de encriptação, permitindo uma clara separação de funções e uma delimitação explícita das responsabilidades pelas actividades de serviços em nuvem com o CSP.

6. Considerações sobre segurança e gestão de serviços em nuvem

a. Arquitetura de serviços e tecnologia

  • "... a arquitetura de serviços e tecnologia que suporta aplicações baseadas na nuvem é construída em conformidade com princípios e normas de arquitetura reconhecidos mundialmente..."

A Thales oferece soluções integradas de encriptação e gestão de chaves para proteger aplicações baseadas na nuvem para ER com BYOE e BYOK.

  • A abordagem "Bring Your Own Encryption" (BYOE) proporciona uma separação de deveres entre ERs e CSPs, permitindo que os clientes utilizem as suas próprias ferramentas de encriptação e gestão de chaves. O CipherTrust Transparent Encryption (CTE) e o CipherTrust Tokenization oferecem soluções avançadas BYOE multinuvem para mobilidade de dados e gestão centralizada de chaves de encriptação.
  • O CipherTrust Cloud Key Management (CCKM) suporta casos de utilização Bring Your Own Key (BYOK) em várias infraestruturas de nuvem e aplicações SaaS, fornecendo automação de gestão de chaves de nuvem, registo de utilização de chaves e relatórios, garantindo fortes controlos sobre os ciclos de vida das chaves de encriptação.
  • "... gestão segura de dados baseada em contentores, em que as chaves de encriptação e os Módulos de Segurança de Hardware estão sob o controlo da ER."

Os módulos de segurança de hardware (HSM) Luna da Thales fornecem às organizações hardware dedicado para controlo de chaves criptográficas, oferecendo um ambiente inviolável para processamento criptográfico seguro, geração de chaves e encriptação.

  • "... um conjunto normalizado de ferramentas e processos para gerir contentores, imagens e versões..."

O CipherTrust Transparent Encryption Container Security oferece recursos em contêineres para criptografia, controlos de acesso e registro de acesso a dados, para que as empresas possam estabelecer fortes proteções em torno dos dados em ambientes de contêineres dinâmicos.

  • "Os ambientes multi-tenancy devem ser protegidos..."
  • "... A arquitetura deve ser resiliente e permitir uma recuperação sem problemas ... em toda a arquitetura da nuvem ..."

O CipherTrust Enterprise Key Management é um dispositivo de alta disponibilidade que centraliza a gestão de chaves de criptografia para o Thales Data Security Portfolio e soluções de criptografia de terceiros. Gere as tarefas do ciclo de vida das chaves, certificados e segredos, e oferece domínios multi-tenência para maior segurança.

b. Gestão da identidade e do acesso (IAM)

OneWelcome da Thales As soluções de gestão de identidade e acesso limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto.

  • O SafeNet Trusted Access é uma solução de gestão de acesso baseada na nuvem que fornece autenticação multifator comercial e pronta a utilizar com a mais vasta gama de métodos e formatos de autenticação de hardware e software.
  • As soluções de cartões convergentes da Thales simplificam a gestão do acesso físico e lógico, consolidando todas as aplicações de segurança empresarial num único cartão de utilizador.
  • A vasta lista de métodos de autenticação suportados responde às necessidades de uma grande variedade de utilizadores e permite às organizações proteger todos os seus utilizadores e recursos digitais sensíveis.

Recursos relacionados

Resumo de Conformidade

Conformidade de segurança de dados com o Reserve Bank of India

Conformidade de segurança de dados com o Reserve Bank of India
Documento técnico

Os pilares fundamentais para a proteção de dados sensíveis em qualquer organização

Os pilares fundamentais para a proteção de dados sensíveis em qualquer organização
Relatório de analista

Relatório de Ameaça de Dados da Thales 2026 - Edição Global

Relatório de Ameaça aos Dados de 2026 da Thales

Outros regulamentos importantes em matéria de segurança e proteção de dados

PCI HSM

Global

MANDATO | EM VIGOR

A especificação PCI HSM define um conjunto de normas de conformidade lógica e física de segurança para HSMs especificamente para o setor de pagamentos. A certificação de conformidade com o PCI HSM depende do cumprimento dessas normas.

Saiba mais

DORA

Global

REGULAMENTO | EM VIGOR

O DORA visa reforçar a segurança informática das entidades financeiras para garantir que o sector financeiro na Europa seja resiliente face ao crescente volume e gravidade dos ciberataques.

Saiba mais

Leis de notificação de violação de dados

Global

REGULAMENTO | EM VIGOR

Os requisitos de notificação de violação de dados na sequência da perda de informações pessoais foram adoptados por países de todo o mundo. Estes variam consoante à jurisdição, mas quase sempre incluem uma cláusula de "porto seguro".

Saiba mais

GLBA

Americas

REGULAMENTO | EM VIGOR

A Lei Gramm-Leach-Bliley (GLBA) — também conhecida como a Lei de Modernização dos Serviços Financeiros de 1999 — exige que as instituições financeiras expliquem aos seus clientes as suas práticas de partilha de informações e salvaguardem dados confidenciais.

Saiba mais

Contactar um especialista em conformidade

Contacte-nos
Partners Resources Blogs Sentinel Drivers