As Diretrizes para o Fornecimento de Sistemas de Tecnologia da Informação (แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสา รสนเทศ นป. 6/2567) emitidas pela Comissão de Valores Mobiliários da Tailândia (SEC) são concebidas para garantir que as instituições financeiras, as empresas de valores mobiliários e outras entidades regulamentadas mantêm sistemas de TI seguros, fiáveis e eficientes. As diretrizes fazem parte do enquadramento regulatório mais amplo da Tailândia, que visa fortalecer a cibersegurança, a proteção de dados e a resiliência operacional nos mercados de capitais.
Quais são as Diretrizes para o Fornecimento de Sistemas de TI da SEC da Tailândia?
- A Comissão de Valores Mobiliários da Tailândia (SEC) supervisiona as operações dos mercados de valores mobiliários e de capitais, incluindo a governação de TI para fornecedores de serviços financeiros.
- Estas diretrizes estão em conformidade com a Lei da Cibersegurança da Tailândia B.E. 2562 (2019) e com a Lei de Proteção de Dados Pessoais (PDPA).
- Mitigar os riscos relacionados com falhas de sistemas de TI, ciberameaças e violações de dados.
- Garantir a confidencialidade, a integridade e a disponibilidade (tríade CIA) dos dados financeiros.
- Para promover a continuidade do negócio e a preparação para a recuperação de desastres.
- Aplica-se a empresas de valores mobiliários, gestoras de ativos, plataformas de crowdfunding e outras entidades regulamentadas pela SEC.
- Abrange infraestruturas de TI, software, redes, serviços na nuvem e subcontratação a terceiros.
Resumo de Conformidade
Garantir a conformidade com as diretrizes para o fornecimento de sistemas de TI pela SEC
Explore soluções para a conformidade com as Diretrizes de Gestão do Risco de Tecnologia da Informação no setor financeiro, abrangendo segurança da tecnologia da informação e muito mais.
Como a Thales ajuda a cumprir as Diretrizes para o Fornecimento de Sistemas de TI da SEC na Tailândia
As soluções de cibersegurança da Thales ajudam as instituições financeiras a cumprir 6 requisitos do Capítulo 2 – Segurança da Tecnologia da Informação, simplificando a conformidade e automatizando a segurança com visibilidade e controlo, reduzindo a carga sobre as equipas de segurança e conformidade.
Segurança de aplicações
Proteja aplicações e APIs em escala na nuvem, on-premises ou em um modelo híbrido. O nosso conjunto de produtos líder de mercado inclui Firewall de Aplicações Web (WAF, Web Application Firewall), proteção contra ataques de Negação de Serviço Distribuída (DDoS, Distributed Denial of Service) e ataques de bots maliciosos.
Segurança dos dados
Descubra e classifique dados confidenciais em toda a TI híbrida e proteja-os automaticamente em qualquer lugar, seja em repouso, em movimento ou em uso, usando tokenização de criptografia e gestão de chaves. As soluções da Thales também identificam, avaliam e priorizam riscos potenciais para uma avaliação de risco precisa, bem como identificam comportamentos anômalos e monitoram a atividade para verificar a conformidade, permitindo que as organizações priorizem onde gastar seus esforços.
Gestão de identidade e acesso
Forneça acesso contínuo, seguro e fiável a aplicações e serviços digitais para clientes, colaboradores e parceiros. As nossas soluções limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto, com políticas de acesso granulares e autenticação multi-fator que ajudam a garantir que o utilizador certo tem acesso ao recurso certo no momento certo.
Cumprir as Diretrizes da SEC – Fornecimento de Sistemas de TI
Como é que a Thales ajuda:
- Efetue a gestão dos direitos de acesso a sistemas e dados (controlo de acesso) suportando a autorização baseada em funções (RBAC) e a autorização condicional (ABAC).
- Ofereça Gestão de Utilizadores Delegada para conceder ou revogar direitos rapidamente com uma pista de auditoria.
- Efetue a gestão do processo de autenticação do utilizador suportando a autenticação multifatorial (MFA, Multi-Factor Authentication).
- Forneça início de sessão único (SSO) e apresente como um relatório de atividade de início de sessão para cumprir os requisitos de segurança.
- Controle e efetue a gestão de contas de utilizadores privilegiados suportando a imposição de autenticação multifatorial (MFA, Multi-Factor Authentication) para aceder a sistemas críticos.
- Crie procedimentos de autorização e aprovação (Orquestração do Percurso do Utilizador) para contas de utilizadores privilegiados e armazene-os e exiba-os como um relatório de atividade de utilizadores privilegiados para auditoria detalhada.
- Efetue a gestão e controle o acesso externo (gestão de acesso de terceiros) suportando a autenticação através de redes sociais ou contas da organização de origem (BYOI).
- Avalie os riscos antes de iniciar sessão e verifique os riscos de acesso em tempo real (Autenticação Baseada no Risco), incluindo a apresentação como um relatório de auditoria de acesso de terceiros para permitir a monitorização, auditoria e supervisão contínuas.
Soluções:
Gestão de identidade e acesso
Verificação de Identidade BYOI e por Início de Sessão Social
Gestão delegada de utilizadores
Como é que a Thales ajuda:
- Identificar dados sensíveis estruturados e não estruturados em risco na TI híbrida.
- Classifique e atribua níveis de sensibilidade específicos aos dados ao definir os seus repositórios de dados e os seus perfis de classificação para diferentes tipos de conjuntos de dados.
- Descubra e classifique o risco potencial para todas as APIs públicas, privadas e obscuras.
Soluções:
Segurança de aplicações
Segurança dos dados
Como é que a Thales ajuda:
- Detete e evite ciberameaças com a firewall de aplicações Web, garantindo operações sem falhas e paz de espírito.
- Proteja os activos de rede críticos contra ataques DDoS e Bad Bots, continuando a permitir o tráfego legítimo.
- Garanta o tempo de atividade com uma mitigação de DDoS rápida e eficaz e um SLA de três segundos para ataques das Camadas 3 e 4.
- Proteja-se de ataques à lógica de negócio e muitas outras das ameaças do Top 10 de API da OWASP.
- Forneça proteção contínua a todas as API utilizando deteção e classificação aprofundadas para detetar todas as API públicas, privadas e shadow.
- Identifique o estado atual de conformidade e documente as lacunas.
- Encripte dados em repouso (data-at-rest) em ambientes on-premises, em múltiplas clouds, e em ambientes de big data ou contentores.
- Pseudonimize os dados sensíveis assim que são criados e garanta que os dados em texto claro não serão processados ou armazenados por pessoal não autorizado e aplicações para evitar a exposição de dados reais.
- Proteja a raiz de confiança de um sistema criptográfico num ambiente FIPS 140-3 Nível 3 - um ambiente altamente seguro.
- Proteja os dados em movimento com encriptação de alta velocidade.
Soluções:
Segurança de aplicações
Segurança dos dados
Monitorização da atividade de dados
Descoberta e classificação de dados
Monitorização de atividades de ficheiros
Encriptação de alta velocidade
Como é que a Thales ajuda:
- Efetue a gestão dos direitos de acesso a sistemas e dados (controlo de acesso) suportando o controlo de acesso baseado em funções (Role-Based Access Control: RBAC) e o controlo de acesso condicional (Attribute-Based Access Control: ABAC).
- Ofereça direitos de utilizador descentralizados (Gestão de Utilizadores Delegada) concedendo ou revogando direitos rapidamente e produza um registo de auditoria para alterações de acesso.
- Forneça processos de autenticação de utilizadores suportando a autenticação multifatorial, avaliação de risco antes do início de sessão (Autenticação Baseada no Risco) e Início de Sessão Único (SSO, Single Sign-On) com relatório de pista de auditoria de relatórios de atividade de início de sessão.
- Controle e efetue a gestão de contas de utilizadores privilegiados com autenticação multifatorial, acedendo a sistemas críticos.
- Conceba processos de autorização e aprovação (Orquestração do Percurso do Utilizador) para contas de utilizadores privilegiados com relatório de auditoria detalhado.
- Armazene e audite registos de acesso de TI, transmita registos para sistemas SIEM externos para correlação, análise de risco e auditoria retrospetiva, conforme necessário.
- Utilize processos de autenticação equivalentes à MFA, como a vinculação de dispositivos ou a autenticação biométrica.
- Realize a avaliação de riscos antes de aprovar exceções e armazene provas de exceções na forma de relatórios de aprovação de exceções para cumprir as políticas.
Como é que a Thales ajuda:
- Proteja as chaves criptográficas em hardware validado por FIPS e à prova de adulteração.
- Encripte as chaves com uma chave AES 256 de utilização única e envie-as através de uma ligação TLS autenticada mutuamente.
- Adote uma encriptação transparente e contínua que proteja contra o acesso não autorizado por utilizadores e processos em ambientes físicos, virtuais e na nuvem.
- Utilize protocolos de encriptação fortes e baseados em normas, como a Norma de Encriptação Avançada (AES, Advanced Encryption Standard) para encriptação de dados e a Criptografia de Curva Elíptica (ECC, Elliptic Curve Cryptography) para troca de chaves.
Como é que a Thales ajuda:
- Suporta algoritmos de criptografia como Norma de Encriptação Avançada (AES, Advanced Encryption Standard) de 256 bits, RSA de 3072 bits e foi concebido para uma atualização pós-quântica para manter a agilidade criptográfica.
- Efetue a gestão de chaves de encriptação, forneça controlo de acesso granular e configure políticas de segurança.
- Centralize as tarefas de gestão do ciclo de vida das chaves, incluindo a geração, rotação, destruição, importação e exportação.
- Garanta a eliminação segura removendo as chaves do CipherTrust Manager, fragmentando digitalmente todas as instâncias dos dados.
- Proteja chaves criptográficas num ambiente de Nível 3 da FIPS 140-3.
- Faça cópias de segurança e duplique facilmente chaves criptográficas sensíveis de forma segura para o HSM de cópia de segurança com certificação FIPS 140-3 de Nível 3.
- Efetue a gestão e proteja todos os segredos e credenciais sensíveis.
Como é que a Thales ajuda:
- Imponha a separação de funções entre os seus dados e entidades externas, bem como o seu fornecedor de serviços na nuvem (CSP), armazenando as chaves de encriptação de forma segura fora da nuvem correspondente.
- Automatize a gestão do ciclo de vida das chaves em nuvens e ambientes híbridos com processos e ferramentas.
- Permita a gestão de relações com fornecedores, parceiros ou qualquer utilizador terceiro, com uma clara delegação de direitos de acesso.
- Minimize os privilégios usando a autorização refinada baseada em relações.
Como é que a Thales ajuda:
- Detete e evite ciberameaças com a firewall de aplicações Web, garantindo operações sem falhas e paz de espírito.
- Proteja o desempenho e a integridade da rede ICT contra ataques DDoS e Bad Bots, continuando a permitir o tráfego legítimo.
Como é que a Thales ajuda:
- Efetue o controlo e a gestão do acesso a sistemas de TI a partir de redes externas (teletrabalho) suportando a Autenticação Multifatorial (MFA, Multi-Factor Authentication) e a Autenticação Baseada no Risco.
- Defina políticas para os administradores aprovarem ligações de redes externas e apresentarem os resultados como relatórios de atividade de acesso remoto.
- Efetue a gestão das políticas de acesso para dispositivos móveis, como a verificação de instalações de patches de segurança e configurações de dispositivos, e a imposição de políticas de antivírus e antimalware.
- Verifique os dispositivos antes de conceder acesso aos sistemas de TI nos casos em que os colaboradores podem usar BYOD, como impedir ligações de dispositivos com acesso root ou jailbreak e forçar a instalação de antimalware atualizado para evitar ameaças de dispositivos pessoais.
Soluções:
Gestão de identidade e acesso
Como é que a Thales ajuda:
- Registe os dados de utilização dos registos de auditoria e envie os dados de utilização para o sistema SIEM.
Como é que a Thales ajuda:
- Efetue a gestão da autenticação e o controlo de acesso suportando a Autenticação Multifatorial e o Início de Sessão Único (SSO, Single Sign-On) e apresentando relatórios de registo de acesso.
- Registe o acesso ao sistema de base de dados e detete tentativas de início de sessão no sistema de base de dados.
- Efetue a gestão da autenticação e o controlo de acesso com suporte para autenticação multifatorial e armazenamento de registos de acesso com apresentação de relatórios.
- Capte alterações à estrutura da base de dados (registo do esquema da base de dados) e aos dados em tabelas importantes, que podem ser apresentadas como uma tabela de registo de acesso e como um relatório.
- Produza pistas de auditoria e relatórios de todos os eventos de acesso a todos os sistemas, e transmita registos para sistemas SIEM externos.
- Forneça controlo e auditoria do acesso a canais de comunicação eletrónica, suportando a gestão de direitos de acesso (Autorização Externalizada) e relatórios de pista de auditoria.
Como é que a Thales ajuda:
- Ofereça controlo e auditoria de acesso a dados pessoais (Controlo de Acesso a Dados Pessoais) suportando a definição de políticas de acesso contextualizadas (Controlo de Acesso Adaptativo) para se adequar ao nível de risco do utilizador.
- Implemente a Autenticação Multifatorial (MFA, Multi-Factor Authentication) para utilizadores que acedem a dados pessoais sensíveis ou a partir de novos dispositivos/localizações.
- Defina políticas de prevenção (Políticas de Acesso) para o acesso a dados sensíveis fora do horário de expediente ou a partir de redes não fidedignas.
- Detete e alerte os administradores se forem encontradas tentativas de acesso anormais, para que possam responder rapidamente.
- Apoie a criação de relatórios de pista de auditoria de todos os acessos para fins de auditoria e investigação em caso de incidentes.
Como é que a Thales ajuda:
- Defina os direitos de acesso ao registo do sistema apenas para aqueles que estão autorizados por funções e políticas da organização (Controlo de Acesso Baseado em Funções).
- Controle detalhadamente as atribuições de acesso aos registos para fins de auditoria.
- Implemente a Autenticação Multifatorial (MFA, Multi-Factor Authentication) para os administradores que precisam de aceder aos registos para aumentar a segurança.
- Ofereça direitos de acesso rigorosos aos registos de auditoria utilizando o Controlo de Acesso Adaptativo para impedir o acesso não autorizado e criar registos de pista de auditoria para auditoria retrospetiva.
Como é que a Thales ajuda:
- Detete ameaças ao sistema com a Firewall de Aplicações Web, Segurança de API e Segurança de Bases de Dados e transmita os registos para o sistema SIEM.
- Monitorize a atividade da API, acompanhe a utilização, detete anomalias e identifique potenciais tentativas de acesso não autorizado.
- Proteja os activos de rede críticos contra ataques DDoS e Bad Bots, continuando a permitir o tráfego legítimo.
- Aplique medidas de segurança contextuais com base na classificação dos riscos.
Soluções:
Segurança de aplicações
Como é que a Thales ajuda:
- Alerte ou bloqueie ataques a bases de dados e pedidos de acesso anormais em tempo real.
- Monitorize a atividade dos ficheiros ao longo do tempo para configurar alertas sobre atividades que possam colocar as instituições financeiras em risco.
- Monitorize continuamente os processos para detetar atividade de E/S anómala e alertar ou bloquear atividade maliciosa.
- Monitorize processos ativos para detetar ransomware – identificando atividades como acesso excessivo a dados, exfiltração, encriptação não autorizada ou representação maliciosa de um utilizador, e alerta/bloqueia quando tal atividade é detetada.
Como é que a Thales ajuda:
- Ofereça funcionalidades avançadas de verificação de API para fortalecer as suas defesas contra potenciais vulnerabilidades.
Como é que a Thales ajuda:
- Execute testes de avaliação em repositórios de dados como o MySQL, por exemplo, para procurar vulnerabilidades conhecidas.
- Analise as suas bases de dados com mais de 1500 testes de vulnerabilidade predefinidos, baseados nos referenciais CIS e PCI-DSS, para ajudar a manter as suas bases de dados protegidas contra as ameaças mais recentes.
Como é que a Thales ajuda:
- Reduza o risco de terceiros mantendo o controlo no local sobre as chaves de encriptação que protegem os dados alojados na nuvem.
- Garanta a separação completa de funções entre os administradores do fornecedor de serviços em nuvem e a sua organização, restrinja o acesso a dados sensíveis.
- Monitorize e alerte anomalias para detetar e impedir que actividades indesejadas perturbem as actividades da cadeia de abastecimento.
- Permita a gestão de relações com fornecedores, parceiros ou qualquer utilizador terceiro, com uma clara delegação de direitos de acesso.
- Minimize os privilégios usando a autorização refinada baseada em relações.
Recursos relacionados
Outros regulamentos importantes em matéria de segurança e proteção de dados
PCI HSM
MANDATO | EM VIGOR
A especificação PCI HSM define um conjunto de normas de conformidade lógica e física de segurança para HSMs especificamente para o setor de pagamentos. A certificação de conformidade com o PCI HSM depende do cumprimento dessas normas.
DORA
REGULAMENTO | EM VIGOR
O DORA visa reforçar a segurança informática das entidades financeiras para garantir que o sector financeiro na Europa seja resiliente face ao crescente volume e gravidade dos ciberataques.
Leis de notificação de violação de dados
REGULAMENTO | EM VIGOR
Os requisitos de notificação de violação de dados na sequência da perda de informações pessoais foram adoptados por países de todo o mundo. Estes variam consoante à jurisdição, mas quase sempre incluem uma cláusula de "porto seguro".
GLBA
REGULAMENTO | EM VIGOR
A Lei Gramm-Leach-Bliley (GLBA) — também conhecida como a Lei de Modernização dos Serviços Financeiros de 1999 — exige que as instituições financeiras expliquem aos seus clientes as suas práticas de partilha de informações e salvaguardem dados confidenciais.