As Diretrizes para a Supervisão e Gestão do Risco de Tecnologias da Informação de Companhias de Seguros de Vida B.E. 2563 (2020) (หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสน เทศของบริษัทประกันชีวิต พ.ศ. ๒๕๖๓) foram emitidas pelo Gabinete da Comissão de Seguros (OIC, Office of Insurance Comission) da Tailândia para fortalecer a gestão de riscos de TI no setor de seguros de vida.
Quais são as diretrizes da OIC para a supervisão e gestão de riscos de TI?
- Garanta operações de TI seguras e estáveis em empresas de seguros de vida
- Mitigue os riscos decorrentes de ciberameaças, violações de dados e falhas de sistema
- Cumpra as normas internacionais
- Melhore a conformidade regulamentar e a proteção do consumidor
- Todas as empresas de seguros de vida registadas na Tailândia
- Prestadores de serviços terceiros (que gerem sistemas/dados de TI para seguradoras)
Seis categorias: Governação de TI, Gestão de projetos de TI, Segurança de TI, Gestão de riscos de TI, Conformidade de TI, Auditoria de TI, Governação e gestão de riscos de cibersegurança e comunicação de incidentes de ciberameaças.
RESUMO DA CONFORMIDADE
Cumprimento das Diretrizes para a supervisão e gestão de riscos de TI da OIC da Tailândia
Descubra como as seguradoras cumprem as Diretrizes para a supervisão e gestão de riscos de tecnologias de informação através das nossas soluções abrangentes de cibersegurança e saiba mais sobre os requisitos.
Como a Thales ajuda no cumprimento das Diretrizes de Supervisão e Gestão do Risco de TI da OIC da Tailândia
As soluções de cibersegurança da Thales ajudam as organizações a abordar duas categorias – Segurança de TI e Governação e Gestão de Riscos de Cibersegurança – simplificando a conformidade e automatizando a segurança com visibilidade e controlo, reduzindo o fardo sobre as equipas de segurança e conformidade.
Soluções de conformidade com a OIC
Segurança de aplicações
Proteja aplicações e APIs em escala na nuvem, on-premises ou em um modelo híbrido. O nosso conjunto de produtos líder de mercado inclui Firewall de Aplicações Web (WAF, Web Application Firewall), proteção contra ataques de Negação de Serviço Distribuída (DDoS, Distributed Denial of Service) e ataques de bots maliciosos.
Segurança dos dados
Descubra e classifique dados confidenciais em toda a TI híbrida e proteja-os automaticamente em qualquer lugar, seja em repouso, em movimento ou em uso, usando tokenização de criptografia e gestão de chaves. As soluções da Thales também identificam, avaliam e priorizam riscos potenciais para uma avaliação de risco precisa, bem como identificam comportamentos anômalos e monitoram a atividade para verificar a conformidade, permitindo que as organizações priorizem onde gastar seus esforços.
Gestão de identidade e acesso
Forneça acesso contínuo, seguro e fiável a aplicações e serviços digitais para clientes, colaboradores e parceiros. As nossas soluções limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto, com políticas de acesso granulares e autenticação multi-fator que ajudam a garantir que o utilizador certo tem acesso ao recurso certo no momento certo.
Dar resposta às Diretrizes da OIC para a Supervisão e Gestão do Risco de TI
Como é que a Thales ajuda:
- Identificar dados sensíveis estruturados e não estruturados em risco na TI híbrida.
- Identifique o estado atual de conformidade e documente as lacunas.
- Descubra e classifique o risco potencial para todas as APIs públicas, privadas e obscuras.
- Classifique e atribua níveis de sensibilidade específicos aos dados ao definir os seus repositórios de dados e os seus perfis de classificação para diferentes tipos de conjuntos de dados.
Soluções:
Segurança de aplicações
Segurança dos dados
Como é que a Thales ajuda:
- Limite o acesso dos utilizadores internos e externos aos sistemas e dados com base nas funções e no contexto das políticas.
- Aplique medidas de segurança contextuais com base na classificação dos riscos.
- Centralize as políticas de acesso e a sua aplicação em múltiplos ambientes híbridos num único painel de controlo.
- Unifique as operações de gestão de chaves com o controlo de acesso baseado em funções.
- Oferecer autenticação multifatorial (MFA) para garantir que quem acede ao sistema está realmente autorizado.
- Implemente o Início de Sessão Único (SSO, Single Sign-On) para permitir que os utilizadores acedam a vários sistemas de forma segura com uma única autenticação.
- Configure políticas de acesso com base nas funções, responsabilidades e riscos do utilizador (Controlo do Acesso Baseado em Políticas).
- Armazene os registos de acesso para dar suporte à auditoria retrospetiva.
- Encripte os dados em repouso e em trânsito (Encriptação de Dados em Repouso e em Trânsito) para impedir o acesso não autorizado.
Soluções:
Segurança de aplicações
Segurança dos dados
Monitorização da atividade de dados
Monitorização de atividades de ficheiros
Gestão de identidade e acesso
Como é que a Thales ajuda:
- Implemente uma encriptação transparente e contínua que protege contra o acesso não autorizado por parte de utilizadores e processos em ambientes físicos, virtuais e na nuvem.
- Pseudonimize informações sensíveis em bases de dados para evitar a exposição de dados reais para testes.
- Proteja as chaves criptográficas em hardware à prova de adulteração e com certificação FIPS 140-3 de Nível 3.
- Encripte as chaves com uma chave AES 256 de utilização única e envie-as através de uma ligação TLS autenticada mutuamente.
- Produtos de segurança concebidos para a atualização pós-quântica para manter a cripto-agilidade.
Como é que a Thales ajuda:
- Ative a autenticação multifatorial (MFA, Multi-Factor Authentication) para utilizadores remotos, para garantir que o acesso é autorizado.
- Forneça gestão de direitos de utilizador para o sistema de Rede Privada Virtual (VPN, Virtual Private Network) para impedir o acesso de dispositivos não autorizados.
- Ofereça políticas de acesso remoto para controlar apenas utilizadores pré-aprovados.
- Armazene os registos de acesso remoto para dar suporte à auditoria retrospetiva.
- Encripte os dados enviados através de ligações remotas (Encriptação de Dados em Trânsito) para evitar a interceção de dados durante a comunicação.
Como é que a Thales ajuda:
- Detete e evite ciberameaças com a firewall de aplicações Web, assegurando operações contínuas e tranquilidade.
- Proteja os activos de rede críticos contra ataques DDoS e Bad Bots, continuando a permitir o tráfego legítimo.
- Garanta o tempo de atividade com uma mitigação de DDoS rápida e eficaz e um SLA de três segundos para ataques das Camadas 3 e 4.
- Proteja-se de ataques à lógica de negócio e muitas outras das ameaças do Top 10 de API da OWASP.
- Forneça proteção contínua a todas as API utilizando deteção e classificação aprofundadas para detetar todas as API públicas, privadas e shadow.
- Obtenha visibilidade total da atividade dos dados sensíveis, acompanhe quem tem acesso, audite o que estão a fazer e documente.
- Identifique atividades de acesso a dados de risco para todos os utilizadores, incluindo com privilégios elevados.
- Proteja os dados com alertas em tempo real ou bloqueio de acesso de utilizadores em caso de violação das políticas.
- Ofereça transparência e contexto sobre o estado de risco dos seus dados, consolidando métricas de risco, localizando áreas de risco e fornecendo classificações de risco transparentes e personalizáveis.
Como é que a Thales ajuda:
- Execute testes de avaliação em repositórios de dados como o MySQL, por exemplo, para procurar vulnerabilidades conhecidas.
- Analise as suas bases de dados com mais de 1500 testes de vulnerabilidade predefinidos, baseados nos referenciais CIS e PCI-DSS, para ajudar a manter as suas bases de dados protegidas contra as ameaças mais recentes.
Recursos relacionados
Outros regulamentos importantes em matéria de segurança e proteção de dados
PCI HSM
MANDATO | EM VIGOR
A especificação PCI HSM define um conjunto de normas de conformidade lógica e física de segurança para HSMs especificamente para o setor de pagamentos. A certificação de conformidade com o PCI HSM depende do cumprimento dessas normas.
DORA
REGULAMENTO | EM VIGOR
O DORA visa reforçar a segurança informática das entidades financeiras para garantir que o sector financeiro na Europa seja resiliente face ao crescente volume e gravidade dos ciberataques.
Leis de notificação de violação de dados
REGULAMENTO | EM VIGOR
Os requisitos de notificação de violação de dados na sequência da perda de informações pessoais foram adoptados por países de todo o mundo. Estes variam consoante à jurisdição, mas quase sempre incluem uma cláusula de "porto seguro".
GLBA
REGULAMENTO | EM VIGOR
A Lei Gramm-Leach-Bliley (GLBA) — também conhecida como a Lei de Modernização dos Serviços Financeiros de 1999 — exige que as instituições financeiras expliquem aos seus clientes as suas práticas de partilha de informações e salvaguardem dados confidenciais.