Enquadramento de Cibersegurança e Resiliência Cibernética (CSCRF)
Em 20 de agosto de 2024, o Securities and Exchange Board of India (SEBI) divulgou o Cybersecurity and Cyber Resilience Framework (CSCRF) às entidades reguladas pelo SEBI (REs) para melhorar as actuais medidas de cibersegurança no mercado de valores mobiliários indiano e reforçar o mecanismo para lidar com riscos ou ameaças cibernéticas.
O CSCRF tem por objetivo fornecer normas e orientações para reforçar a ciber-resiliência e manter uma cibersegurança sólida das entidades reguladoras do SEBI. O quadro do QCRSR substitui as actuais circulares/orientações/aconselhamentos/cartas do SEBI em matéria de cibersegurança.
O CSCRF é baseado em normas e abrange amplamente os cinco objectivos de ciber-resiliência adoptados do Plano de Gestão de Ciber-Crises (CCMP) da Equipa Indiana de Resposta a Emergências Informáticas (CERT-In): Antecipar, Suportar, Conter, Recuperar e Evoluir. Estes objectivos de ciber-resiliência foram associados às seguintes funções de cibersegurança: Governação, Identificar, Proteger, Detetar, Responder e Recuperar.
O QCERP está estruturado em quatro partes:
- Parte I: Objectivos e normas
- Parte II: Diretrizes
- Parte III: Formatos estruturados para cumprimento
- Parte IV: Anexos e referências
As normas aplicam-se às seguintes ER e subclassifica-as em diferentes categorias com base na sua escala operacional, número de clientes, volume de transacções e activos sob gestão, e prevê requisitos de conformidade específicos para cada categoria.
- Para as ER em que já existe uma circular sobre cibersegurança e ciber-resiliência - até 1 de janeiro de 2025.
- Para outras ER em que o CSCRF é emitido pela primeira vez - até 1 de abril de 2025.
Resumo de Conformidade
Enquadramento de Cibersegurança e Resiliência Cibernética (CSCRF)
Explore soluções para a conformidade com o CSCRF, abordando as diretrizes da função de cibersegurança de Governação, Identidade e Proteção no enquadramento.
Como a Thales ajuda na conformidade com o CSCRF
A Thales pode ajudar as ERs a cumprir o CSCRF, abordando as diretrizes da função de cibersegurança de Governação, Identidade e Proteção na estrutura.
Fornecemos soluções em três áreas-chave da cibersegurança: Segurança de aplicações, Segurança de Dados e Gestão de Identidades e Acessos.
Soluções de conformidade CSCRF
Segurança de aplicações
Proteja aplicações e APIs em escala na nuvem, on-premises ou em um modelo híbrido. O nosso conjunto de produtos líder de mercado inclui Web Application Firewall (WAF), proteção contra ataques DDoS (Distributed Denial of Service) e BOT maliciosos, segurança para APIs, uma CDN (Content Delivery Network) segura e RASP (Runtime Application Self-Protection).
Segurança dos dados
Descubra e classifique dados confidenciais em toda a TI híbrida e proteja-os automaticamente em qualquer lugar, seja em repouso, em movimento ou em uso, usando tokenização de criptografia e gestão de chaves. As soluções da Thales também identificam, avaliam e priorizam riscos potenciais para uma avaliação de risco precisa, bem como identificam comportamentos anômalos e monitoram a atividade para verificar a conformidade, permitindo que as organizações priorizem onde gastar seus esforços.
Gestão de identidade e acesso
Forneça acesso contínuo, seguro e fiável a aplicações e serviços digitais para clientes, colaboradores e parceiros. As nossas soluções limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto, com políticas de acesso granulares e autenticação multi-fator que ajudam a garantir que o utilizador certo tem acesso ao recurso certo no momento certo.
Abordar o Código Padrão e as Diretrizes da CSCRF
O SafeNet Authentication Service Private Cloud Edition (PCE) é uma plataforma de autenticação local económica e fácil de utilizar que oferece mais de 200 configurações pré-testadas, suporta soluções de terceiros e oferece diversos tipos de tokens.
O CipherTrust Data Discovery & Classification (DDC) identifica e classifica dados em vários armazenamentos de dados, melhorando a privacidade e a segurança dos dados ao gerir ativos em ambientes locais, híbridos, em nuvem e multinuvem.
O Imperva Data Security Fabric Data Activity Monitoring (DAM) permite que as ERs identifiquem riscos relacionados com dados críticos através da monitorização contínua da atividade do armazenamento de dados, fornecendo pistas de auditoria detalhadas.
O Imperva Data Security Fabric Data Activity Monitoring (DAM) simplifica a auditoria em várias plataformas, incluindo relacionais, NoSQL, mainframe, big data e data warehouses, e suporta o Microsoft Azure e a AWS, capturando automaticamente a atividade detalhada dos dados.
Os HSMs e Encriptadores de Alta Velocidade Thales Luna fornecem uma abordagem cripto-ágil para garantir a prontidão PQC para as ERs.
- Fortaleça as suas chaves de encriptação com o HSM Luna da Thales, seguro para quantum, que está disponível comercialmente com algoritmos finalistas pós-quânticos do NIST adicionados.
- Algoritmos resistentes ao quantum (QRA) com PQC FM com assinatura baseada em hash (SP800-208)
- PQC integrado/personalizado: Implemente o seu próprio Post-Quantum Crypto utilizando o Functionality Module (FM) Luna ou com vários módulos de funcionalidade/integrações de parceiros
- QRNG: injetar entropia quântica com QRNG e armazenamento seguro de chaves do HSM Luna
- As soluções de encriptação de rede High Speed Encryption (HSE) da Thales oferecem dados seguros em trânsito, suportando a Criptografia Pós-Quântica (PQC) com uma arquitetura cripto-ágil baseada em FPGA, fornecendo proteção a longo prazo contra ataques quânticos e encriptação em todo o lado.
O kit inicial PQC permite às ER testar com segurança soluções pós-quânticas num ambiente de confiança, em parceria com a Quantinuum para configurar um HSM Luna para chaves prontas para PQC.
Imperva Web Application Firewall (WAF) oferece segurança abrangente para aplicações web, detetando e prevenindo ameaças cibernéticas. Bloqueia ataques em tempo real e actualiza as regras diariamente.
Imperva Data Security Fabric Data Risk Analytics monitoriza o acesso e a atividade dos dados, proporcionando visibilidade a todos os utilizadores. Utiliza conhecimentos profundos de segurança de domínio e aprendizagem automática para identificar comportamentos suspeitos.
O SafeNet Authentication Service Private Cloud Edition (PCE) permite que as organizações limitem o acesso a recursos confidenciais e suporta soluções de terceiros via SAML, RADIUS, agentes ou APIs.
Imperva Web Application Firewall (WAF) oferece segurança abrangente para aplicações web, detetando e prevenindo ameaças cibernéticas como cross-site scripting e acesso ilegal a recursos. Bloqueia ataques em tempo real, com actualizações diárias da equipa de investigação de ameaças.
Imperva API Security fornece visibilidade total da API, descobrindo automaticamente endpoints e avaliando riscos. Classifica APIs sensíveis utilizando dados de chamada, permitindo medidas de segurança proactivas. A monitorização contínua promove lançamentos de software mais rápidos e seguros, disponíveis como um complemento ou parte da oferta API Security Anywhere.
O CipherTrust Transparent Encryption oferece encriptação contínua ao nível dos ficheiros, gestão centralizada de chaves e controlo de acesso de utilizadores privilegiados, garantindo o acesso não autorizado em ambientes físicos, virtuais e na nuvem, assegurando uma implementação perfeita.
O CipherTrust Enterprise Key Management melhora a gestão de chaves em ambientes empresariais e de nuvem, fornecendo alta segurança e centralização para criptografia interna e aplicações de terceiros usando dispositivos virtuais ou de hardware compatíveis com FIPS 140-2.
O SafeNet Authentication Service Private Cloud Edition (PCE) fornece acesso centralizado e seguro a aplicações empresariais através de vários métodos de autenticação como OTP, credenciais PKI, Kerberos e vários fatores de forma.
As soluções de gestão de identidade e acesso OneWelcome da Thales oferecem medidas de segurança abrangentes e capacidades de elaboração de relatórios para organizações, utilizando dispositivos de autenticação multi-fator para múltiplas aplicações.
O módulo Consent & Preference Management OneWelcome da Thales permite às instituições financeiras recolher o consentimento dos consumidores, gerir o acesso aos dados e gerir a delegação B2B com base nas funções e responsabilidades dos utilizadores.
O CipherTrust Manager simplifica a gestão do ciclo de vida das chaves, incluindo atividades como geração, backup e restauração, desativação e exclusão. As suas principais fases de destruição permitem que as organizações efectuem a destruição digital de dados.
Imperva API Security fornece às equipas de segurança uma visibilidade abrangente da API, permitindo ciclos de lançamento de software mais rápidos e seguros e evitando fluxos de trabalho com utilização intensiva de recursos, garantindo assim que se mantêm atualizados em relação aos novos riscos.
Dados em repouso
A Thales oferece várias soluções para dados em repouso que podem coexistir com a encriptação nativa fornecida pelo Fornecedor de Serviços na Nuvem (CSP).
- A CipherTrust Transparent Encryption oferece encriptação contínua ao nível do ficheiro para proteger contra o acesso não autorizado em ambientes físicos, virtuais e na nuvem. Utiliza protocolos fortes e baseados em normas, como AES e ECC, e é validado pelo FIPS 140-2 Nível 1.
- CipherTrust Tokenization fornece tokenização e mascaramento dinâmico de dados para anonimização e desidentificação de dados na nuvem.
- CipherTrust Application Data Protection fornece preservação de formato ou criptografia tradicional para aplicações que usam APIs RESTful. Todas as soluções acima podem ser utilizadas para fornecer proteção aos dados em repouso na nuvem.
- O CipherTrust Manager é o ponto central de gestão da CipherTrust Data Security Platform. Gere as tarefas do ciclo de vida das chaves, incluindo a geração, a rotação, a destruição, a importação e a exportação, fornece controlo de acesso às chaves e políticas com base em funções, suporta auditorias e relatórios robustos e oferece uma API REST de fácil desenvolvimento.
Dados em trânsito
- As soluções de encriptação de rede de alta velocidade (HSE) da Thales protegem os dados em movimento à medida que se deslocam através da rede entre centros de dados e sedes, filiais e escritórios satélite, para locais de backup e recuperação de desastres, no local e na nuvem.
O CipherTrust Data Discovery and Classification (DDC) simplifica o processo de identificação e classificação de dados confidenciais em vários armazenamentos de dados, reduzindo assim os riscos de segurança e permitindo uma melhor tomada de decisões para a transformação e correção da nuvem.
Imperva API Security fornece visibilidade abrangente da API para as equipas de segurança, detectando automaticamente endpoints e determinando os riscos em torno de dados sensíveis. Melhora a proteção contra os 10 principais riscos de segurança de API da OWASP para REs, permitindo que os programadores criem microsserviços e APIs em diferentes ambientes.
O CipherTrust Secrets Management (CSM) automatiza o acesso a segredos em ferramentas DevOps e cargas de trabalho na nuvem, com a tecnologia Akeyless Vault, e integra-se a aplicações de terceiros como GitHub e Kubernetes.
Os High Speed Encryptors (HSE) da Thales oferecem encriptação de dados em movimento, independente da rede, protegendo dados, vídeo, voz e metadados contra escutas, vigilância e interceção. Disponíveis como dispositivos físicos e virtuais, suportam uma vasta gama de velocidades de rede.
Enquadramento para a adoção de serviços em nuvem
A plataforma CipherTrust Data Security fornece armazenamento seguro em nuvem para ERs, utilizando criptografia avançada e gestão centralizado de chaves, garantindo a mobilidade de dados em vários fornecedores de nuvem.
O CipherTrust Cloud Key Manager (CCKM) suporta casos de uso de Bring Your Own Key (BYOK) em várias infraestruturas de nuvem e aplicações SaaS. Fornece salvaguardas robustas para os dados da empresa, permitindo a conformidade e o controlo dos ciclos de vida das chaves de encriptação.
CipherTrust Transparent Encryption fornece criptografia transparente e controlo de acesso para dados que residem no Amazon S3, Azure Files e muito mais.
CipherTrust Tokenization tokeniza os dados antes de serem migrados para a nuvem na forma ofuscada para proteger os dados de qualquer violação.
Os módulos de segurança de hardware (HSM) Luna da Thales fornecem às organizações hardware dedicado para controlo de chaves criptográficas, oferecendo um ambiente inviolável para processamento criptográfico seguro, geração de chaves e encriptação.
Recursos relacionados
Outros regulamentos importantes em matéria de segurança e proteção de dados
PCI HSM
MANDATO | EM VIGOR
A especificação PCI HSM define um conjunto de normas de conformidade lógica e física de segurança para HSMs especificamente para o setor de pagamentos. A certificação de conformidade com o PCI HSM depende do cumprimento dessas normas.
DORA
REGULAMENTO | EM VIGOR
O DORA visa reforçar a segurança informática das entidades financeiras para garantir que o sector financeiro na Europa seja resiliente face ao crescente volume e gravidade dos ciberataques.
Leis de notificação de violação de dados
REGULAMENTO | EM VIGOR
Os requisitos de notificação de violação de dados na sequência da perda de informações pessoais foram adoptados por países de todo o mundo. Estes variam consoante à jurisdição, mas quase sempre incluem uma cláusula de "porto seguro".
GLBA
REGULAMENTO | EM VIGOR
A Lei Gramm-Leach-Bliley (GLBA) — também conhecida como a Lei de Modernização dos Serviços Financeiros de 1999 — exige que as instituições financeiras expliquem aos seus clientes as suas práticas de partilha de informações e salvaguardem dados confidenciais.