Conformidade da Segurança dos Dados com a Diretriz em matéria de Segurança das TIC
em Bangladeche

Resumo da norma

A Diretriz em matéria de Segurança das TIC aplica-se aos bancos, aos institutos financeiros não bancários (IFNB), aos prestadores de serviços financeiros móveis (MFSP), aos prestadores de serviços de pagamento (PSP), aos operadores de sistemas de pagamento (PSO), aos ATM de marca branca e aos adquirentes comerciais (WLAMA) e a outros prestadores de serviços financeiros regulamentados pelo Bangladesh Bank.

A presente Diretriz revista em matéria de TIC define os requisitos mínimos de controlo a que cada organização deve aderir. Os principais objetivos da presente diretriz são os seguintes:

1. Estabelecer a gestão das TIC no setor financeiro
2. Ajudar as organizações a desenvolver a sua própria política de segurança para as TIC
3. Estabelecer uma abordagem-tipo de gestão da segurança das TIC
4. Ajudar as organizações a desenvolver infraestruturas de TIC seguras e fiáveis
5. Estabelecer um ambiente seguro para o tratamento de dados
6. Estabelecer uma abordagem global da gestão de risco das TIC
7. Estabelecer um procedimento para a análise do impacto nas empresas juntamente com a gestão de risco das TIC
8. Sensibilizar as partes interessadas para as suas funções e responsabilidades em matéria de proteção da informação
9. Dar prioridade aos sistemas de informação e de TIC e aos riscos associados que têm de ser mitigados
10. Estabelecer uma abordagem de gestão de projetos adequada para projetos de TIC
11. Assegurar as melhores práticas (a norma do setor) na utilização da tecnologia
12. Desenvolver um quadro para o tratamento atempado e eficaz dos incidentes de segurança das operações e da informação
13. Atenuar qualquer interrupção das atividades comerciais e proteger os processos comerciais essenciais contra os efeitos de falhas significativas dos sistemas de informação ou de catástrofes e assegurar o seu restabelecimento em tempo útil
14. Definir os controlos necessários para proteger os dados transmitidos através das redes de comunicação
15. Garantir que a segurança seja integrada em todo o ciclo de vida das aquisições, desenvolvimento e manutenção de sistemas de informação
16. Minimizar os riscos de segurança para a infraestrutura bancária eletrónica, incluindo ATM e dispositivos POS, cartões de pagamento, serviços bancários pela Internet, serviços financeiros móveis, etc.
17. Sensibilizar e formar os utilizadores associados às atividades de TIC para atingir os objetivos da empresa
18. Defender a utilização segura e protegida das tecnologias emergentes.

Os requisitos pormenorizados estão delineados em 13 capítulos.

A Thales permite que os bancos e as organizações financeiras do Bangladeche se alinhem com os seis capítulos seguintes da Diretriz em matéria de Segurança das TIC.

Capítulo 4: Gestão da prestação de serviços de TIC

• O CipherTrust Cloud Key Management permite que as organizações separem as chaves dos dados armazenados na nuvem, impedindo o acesso não autorizado aos dados pelo fornecedor de serviços cloud. Ao utilizar a tecnologia Hold-Your-Own-Key (HYOK), as organizações mantêm o controlo total e a propriedade dos seus dados, controlando o acesso às chaves de encriptação.
• Proteger dados em repouso: a CipherTrust Data Security Platform oferece vários recursos para proteger dados em repouso em ficheiros, volumes e bases de dados. Incluindo: o CipherTrust Transparent Encryption e CipherTrust Tokenization.
• Proteger dados em movimento: os High Speed Network Encryption (HSE) da Thales fornecem encriptação de dados em movimento independente da rede (camadas 2, 3 e 4), garantindo que os dados estão seguros à medida que se deslocam de um local para outro ou do local para a nuvem e vice-versa.

Capítulo 5: Gestão da segurança das infraestruturas

• O CipherTrust Data Discovery and Classification permite que as organizações localizem e classifiquem de forma eficiente dados regulamentados estruturados e não estruturados em várias fontes de dados, de acordo com os principais requisitos de conformidade globais e regionais.
• As soluções de High Speed Network Encryption (HSE) da Thales fornecem encriptação de dados em movimento/trânsito independente da rede (camadas 2, 3 e 4), garantindo que os dados estão seguros à medida que se deslocam de um local para outro ou do local para a nuvem e vice-versa.
• O CipherTrust Transparent Encryption (CTE) fornece encriptação de dados em repouso independente da base de dados com gestão centralizada de chaves, controlo de acesso de utilizadores com privilégios e registo detalhado de auditorias de acesso a dados que ajuda as organizações a cumprir os requisitos de conformidade e de melhores práticas para proteger os dados.
• Os Módulos de Segurança de Hardware (HSM) protegem chaves criptográficas e fornecem um ambiente FIPS 140-2 Nível 3 reforçado e inviolável para processamento criptográfico seguro, geração e proteção de chaves, encriptação e muito mais. Os HSM Luna estão disponíveis no local, na nuvem como um serviço, em ambientes híbridos e permitem fazer cópias de segurança de chaves em HSM de backup compatíveis com FIPS 140-2 nível 3.
• O Key Management da Thales simplifica e reforça a gestão de chaves em ambientes empresariais e de nuvem num conjunto diversificado de casos de utilização. Através da utilização de dispositivos virtuais ou de hardware compatíveis com FIPS 140-2, as ferramentas e soluções de gestão de chaves da Thales oferecem elevada segurança a ambientes sensíveis e centralizam a gestão de chaves para encriptação interna, bem como para aplicações de terceiros.

Capítulo 9: Gestão da continuidade das atividades

• As informações confidenciais em fitas ou discos podem ser protegidas com a CipherTrust Data Security Platform que garante que os dados são encriptados antes de serem armazenados e transportados. O Key Management da Thales integra-se com os principais fornecedores de soluções de cópias de segurança para gerir as chaves de encriptação da cópia de segurança e para separar os dados das chaves. Também protege os dados antes de serem copiados e armazenados no suporte amovível.

Capítulo 10: Aquisição e desenvolvimento de sistemas de informação

• O CipherTrust Secrets Management (CSM) é uma solução de gestão de segredos de última geração, alimentada pelo Akeyless, que protege e automatiza o acesso a segredos essenciais em ferramentas DevOps e cargas de trabalho em nuvem, incluindo segredos, credenciais, certificados, chaves de API e tokens.
• O CipherTrust Data Protection Gateway oferece uma proteção de dados transparente a qualquer serviço web RESTful ou microsserviço que utilize REST API.

Capítulo 11: Segurança dos pagamentos digitais

• O PayShield 10k HSM é um módulo de segurança de hardware (HSM) de pagamento utilizado extensivamente em todo o ecossistema global de pagamentos por emissores, prestadores de serviços, adquirentes, processadores e redes de pagamento. Desempenha um papel fundamental na segurança dos processos de emissão de credenciais de pagamento, autenticação de utilizadores, autenticação de cartões e proteção de dados confidenciais, tanto para pagamentos presenciais como para pagamentos remotos digitais.

Capítulo 14: Gestão de tecnologias emergentes

• Os HSM Luna Network da Thales foram criados para armazenar as chaves privadas usadas pelos membros da blockchain para assinar todas as transações num processador criptográfico dedicado com FIPS 140-2 de nível 3. As chaves são armazenadas durante todo o seu ciclo de vida, garantindo que as chaves criptográficas não podem ser acedidas, modificadas ou utilizadas por dispositivos ou pessoas não autorizadas.