Conformidade com as Diretrizes de Gestão de Risco Tecnológico (Technology Risk Management, TRM) da Autoridade Monetária de Singapura (MAS)

Resumo da norma

A Autoridade Monetária de Singapura (MAS) publicou Diretrizes de Gestão de Risco Tecnológico (TRM) para ajudar as empresas financeiras a estabelecer uma sólida gestão de risco tecnológico, reforçar a segurança do sistema e proteger dados e transações confidenciais.

As TRM contém declarações sobre as melhores práticas do setor que as instituições financeiras que realizam negócios em Singapura devem adotar. A MAS deixa claro que, embora os requisitos das TRM não sejam legalmente obrigatórios, eles são uma referência que o MAS utiliza para avaliar o risco das instituições financeiras.

Descrição das diretrizes

• 8.4.4 A instituição financeira deve criptografar fitas e discos de backup, incluindo discos USB, que contêm informações sensíveis ou confidenciais, antes de serem transportados para armazenamento fora do local.
• 9.1.6 As informações confidenciais armazenadas em sistemas de TI, servidores e bancos de dados devem ser criptografadas e protegidas através de fortes controles de acesso, tendo em mente o princípio de "menor privilégio".
• 11.0.1.c Princípio de controle de acesso - a instituição financeira só deve conceder direitos de acesso e privilégios a sistemam com base na responsabilidade de trabalho e na necessidade de tê-los para cumprir tarefas. A instituição financeira deve verificar que nenhuma pessoa em virtude de seu cargo ou posição deve ter qualquer direito intrínseco de acesso a dados confidenciais, aplicativos, recursos do sistema ou instalações.
• 11.1.1 A instituição financeira só deve conceder aos usuários acesso aos sistemas e redes de TI com base na necessidade de uso e durante o período em que o acesso é necessário. A instituição financeira deve garantir que o proprietário do recurso autorize e aprove todas as solicitações de acesso aos recursos de TI.
• 11.2 Gerenciamento de acesso privilegiado.
• 11.2.3.d. Conceder acesso privilegiado de acordo com a "necessidade de tê-lo".
• 11.2.3.e. Manter registro de auditoria das atividades do sistema realizadas por usuários privilegiados.
• 11.2.3.f. Proibir o acesso de usuários privilegiados a registros dos sistemas nos quais suas atividades estão sendo capturadas.
• 13 segurança de cartões de pagamento (caixas automáticos, cartões de crédito e débito).

A Thales pode ajudar sua empresa a evitar que as violações de dados aconteçam com:

• Controle de acesso para garantir que somente usuários credenciados tenham acesso a seus sistemas e dados
• Criptografia, tokenização e gerenciamento de chaves criptográficas para garantir que, se os dados forem roubados, não terão sentido e serão inúteis para cibercriminosos
• Registros de inteligência de segurança para identificar padrões de acesso irregulares e violações em andamento

Forte gerenciamento de acesso e autenticação

As soluções de gerenciamento de acesso e autenticação da Thales fornecem tanto os mecanismos de segurança quanto os recursos de relatórios que as empresas precisam para cumprir com as leis de segurança de dados. Nossas soluções protegem dados confidenciais aplicando os controles de acesso apropriados quando os usuários fazem login em aplicativos que armazenam dados confidenciais. Utilizando diversos métodos de autenticação e acesso baseados em políticas, nossas soluções ajudam as empresas a mitigar o risco de violação de dados devido a credenciais comprometidas ou roubadas ou através de abuso de credenciais privilegiadas.

O suporte para logon único inteligente e autenticação avançada permite que as organizações otimizem a conveniência para os usuários finais, garantindo que eles só precisem se autenticar quando necessário. Relatórios abrangentes permitem às empresas criar um registro de auditoria detalhado de todos os eventos de acesso e autenticação, garantindo que eles possam se mostrar em conformidade com diversas regulamentações.

CipherTrust Data Security Platform

A CipherTrust Data Security Platform é a única solução com uma única estrutura dimensionável para proteger dados em repouso de acordo com as diversas exigências das empresas através da mais ampla gama de plataformas de sistemas operacionais, bancos de dados, ambientes em nuvem e implementações de big data. O resultado é um baixo custo total de propriedade, bem como implantação e operação simples e eficientes.

• A CipherTrust Transparent Encryption fornece criptografia de dados em repouso de arquivos e em volume, gerenciamento seguro de chaves e controles de acesso exigidos por leis de regulamentação e conformidade.
• A CipherTrust Key Management permite o gerenciamento centralizado de chaves de criptografia para outros ambientes e dispositivos, incluindo hardware compatível com KMIP, chaves mestras TDE Oracle e SQL Server e certificados digitais.
• A CipherTrust Data Security Intelligence oferece um nível superior de proteção contra ataques de criminosos internos, usuários privilegiados, APTs e outros que comprometem os dados ao fornecer as informações do padrão de acesso que podem identificar um incidente em andamento.
• A CipherTrust Application Data Protection permite que as agências criem facilmente capacidades de criptografia em aplicativos internos em nível de campo e de coluna.
• A CipherTrust Tokenization permite que administradores estabeleçam políticas para devolver um token de campo inteiro ou mascarar dinamicamente partes de um campo. Com os recursos de tokenização com preservação de formato da solução, é possível restringir o acesso a ativos confidenciais e, ao mesmo tempo, formatar os dados protegidos de uma maneira que permita que muitos usuários façam seus trabalhos.

High Speed Encryptors da Thales

Os High Speed Encryptors (HSEs) da Thales fornecem criptografia de dados em movimento independente da rede (camadas 2, 3 e 4) garantindo a segurança dos dados à medida que eles se movem de local para local, ou de local para a nuvem e vice-versa. Nossas soluções HSE permitem que nossos clientes possam proteger melhor dados, vídeos, gravações de voz e metadados contra escuta, vigilância e interceptação aberta e encoberta - tudo a um custo acessível e sem comprometer o desempenho.