Conformidade com o quadro para a adoção de serviços em nuvem na Índia
Padrões de linha de base para conformidade regulatória e de segurança para entidades reguladas na Índia
A Securities and Exchange Board of India (SEBI) introduziu o Framework for the Adoption of Cloud Services by SEBI Regulated Entities (REs) na circular n.ºSEBI/HO/ITD/ITD_VAPT/P/CIR/2023/033 em 6 de março de 2023, que estabelece normas de base para a segurança e a conformidade regulamentar. Este quadro é um complemento fundamental das orientações existentes da SEBI sobre computação em nuvem e foi concebido para ajudar as ER a implementar práticas seguras e conformes de adoção da nuvem.
O principal objetivo deste quadro é destacar os principais riscos e as medidas de controle obrigatórias que as entidades reguladas (ER) devem implementar antes de adotarem a computação em nuvem. O quadro também estabelece os requisitos regulamentares e legais a serem cumpridos pelas ER se adoptarem essas soluções.
A Thales oferece soluções integradas que permitem à sua organização abordar a Estrutura para a Adoção de Serviços em Nuvem com foco no Controle de Segurança e nos Princípios de Gestão de Riscos de Concentração.
Resumo da norma
A circular relativa ao quadro para a adoção de serviços de computação em nuvem define os riscos exclusivos dos serviços de computação em nuvem pública para orientar as ER no desenvolvimento da sua estratégia de gestão dos riscos. Também refere algumas práticas recomendadas para atenuar as ameaças específicas da nuvem. Se as ER não estabelecerem as medidas de segurança adequadas, tal como recomendado na circular, os dados que colocam na nuvem podem correr o risco de serem comprometidos por agentes maliciosos; por sua vez, quaisquer incidentes de segurança daí resultantes podem afetar a capacidade das ER de manterem a sua continuidade operacional e o cumprimento das suas obrigações legais.
O quadro é um quadro baseado em princípios que abrange nove aspectos-chave com os tópicos abaixo:
O Quadro para a Adoção de Serviços em Nuvem pelas Entidades Regulamentadas (ER) da SEBI foi introduzido em 6 de março de 2023. O quadro é um complemento das circulares/orientações/aconselhamentos do SEBI já existentes e entra em vigor imediatamente para todas as atribuições/projetos de integração na nuvem, novos ou propostos, das ER. As ER que atualmente recorrem a serviços de computação em nuvem devem assegurar que, sempre que aplicável, todos esses acordos são revistos e devem estar em conformidade com o quadro no prazo de 12 meses.
A Thales oferece soluções integradas que permitem à sua organização abordar a Estrutura para a Adoção de Serviços em Nuvem com foco no Controle de Segurança e nos Princípios de Gestão de Riscos de Concentração.
Protegendo dados em repouso
A Thales oferece várias soluções para dados em repouso que podem coexistir com a encriptação nativa fornecida pelo Fornecedor de Serviços na Nuvem (CSP).
Protegendo dados em movimento
As soluções de criptografia de rede de alta velocidade (HSE) da Thales protegem os dados em movimento à medida que se movem pela rede entre data centers e matrizes, filiais e escritórios satélites, para locais de backup e recuperação de desastres, no local e na nuvem.
A solução CipherTrust Transparent Encryption criptografa arquivos, mas deixa seus metadados visíveis. Dessa forma, o CSP pode executar suas tarefas de administração do sistema sem obter acesso privilegiado aos dados confidenciais que residem nos sistemas que gerenciam.
Adotar a encriptação «Traga a sua própria encriptação» (BYOE) e «Traga a sua própria chave» (BYOK)
O CipherTrust Cloud Key Manager oferece suporte a casos de uso «Traga a sua própria chave» (BYOK) e «Mantenha a sua própria chave» (HYOK) em várias infraestruturas de nuvem e aplicativos SaaS em uma única interface. Fornece auditoria de chaves, geração de chaves fortes e gestão do ciclo de vida das chaves de ponta a ponta, juntamente com a rotação automática de chaves, a recuperação e a revogação de chaves, funcionalidades que não estão disponíveis em nenhum sistema de gestão de chaves (KMS) gerido por um fornecedor de serviços de computação em nuvem.
O «Traga a sua própria chave» (BYOK) e «Mantenha a sua própria chave» (HYOK) proporcionam uma separação mais forte do dever para as chaves de encriptação, podendo a ER manter o controlo das suas chaves em vez de as confiar ao PSC.
CipherTrust Transparent Encryption fornece criptografia transparente e controle de acesso para dados que residem no Amazon S3, Azure Files e muito mais. Ele também oferece soluções avançadas de Traga sua Própria Encriptação (BYOE) multinuvem para evitar o bloqueio de criptografia do fornecedor de nuvem e garantir a mobilidade de dados para proteger dados com eficiência em vários fornecedores de nuvem com gerenciamento centralizado e independente de chaves de criptografia.
Proteção de chaves criptográficas
Os Módulos de Segurança de Hardware (HSM) Luna da Thales permitem que as organizações tenham um Hardware dedicado para um maior grau de controle e propriedade sobre as chaves criptográficas em vez de estarem com o Fornecedor de Serviços na Nuvem (CSP).
Soluções agnósticas para CSP
O CipherTrust Cloud Key Manager combina suporte para serviço BYOK do provedor de nuvem e gerenciamento de chave de nuvem que fornece aos consumidores de nuvem fortes controles sobre os ciclos de vida da chave de criptografia para dados criptografados por um provedor de serviços de nuvem.
O Thales CipherTrust Transparent Encryption (CTE) e o CipherTrust Tokenization oferecem soluções avançadas de Traga sua Própria Criptografia (BYOE) multinuvem para evitar o bloqueio de criptografia do fornecedor de nuvem e garantir a mobilidade de dados para proteger dados de forma eficiente em vários fornecedores de nuvem com gerenciamento de chave de criptografia centralizado e independente.
This framework is a crucial addition to SEBI’s existing guidelines on cloud computing and is designed to help REs implement secure and compliant cloud adoption practices in India.
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
This paper describes security best practices for protecting sensitive data in the public cloud, and explains concepts such as BYOK, HYOK, Bring Your Own Encryption (BYOE), key brokering and Root of Trust (RoT). It explains the level of data protection that can be achieved by...
Talvez o padrão de privacidade de dados mais abrangente até o momento, o GDPR afeta qualquer organização que processa dados pessoais de cidadãos da UE - independentemente de onde a organização está sediada.
Qualquer organização que desempenhe uma função no processamento de pagamentos com cartão de crédito e débito deve cumprir os rígidos requisitos de conformidade do PCI DSS para o processamento, armazenamento e transmissão de dados da conta.
Os requisitos de notificação de violação de dados após a perda de informações pessoais foram promulgados por países em todo o mundo. Eles variam de acordo com a jurisdição, mas quase universalmente incluem uma cláusula de “porto seguro”.