Conformidade com normas da NCUA

Administração de direitos de acesso

Segundo o FFIEC:

As instituições financeiras devem ter um processo eficaz para administrar direitos de acesso. O processo deve incluir:

• Permitir a usuários e dispositivos apenas o acesso necessário para executar as funções necessárias,
• Atualização dos direitos de acesso com base em mudanças de pessoal ou de sistema,
• Revisão periódica dos direitos de acesso de usuários com uma frequência apropriada com base no risco do aplicativo ou sistema.

Gerenciamento e criptografia de chaves

O FFIEC também menciona:

• Criptografia
  As instituições financeiras devem empregar uma criptografia suficientemente forte para proteger informações de divulgação até que a divulgação da informação não represente uma ameaça material. As decisões sobre quais e quando os dados devem ser criptografados são normalmente baseadas no risco de divulgação.A criptografia também pode ser usada para proteger dados armazenados. A implementação pode criptografar um arquivo, um diretório, um volume ou um disco.
• Gerenciamento de chaves criptográficas
  Uma vez que a segurança se baseia principalmente nas chaves de criptografia, o gerenciamento eficaz das chaves é fundamental. Sistemas eficazes de gerenciamento de chaves são baseados em um conjunto acordado de padrões, procedimentos e métodos seguros. Fonte: ISO 17799, 10.3.5.2

Monitoramento da segurança

Além disso o FFIEC oferece orientações para monitoramento da segurança.

As instituições financeiras devem garantir a adequação de sua estratégia de mitigação de riscos e de sua implementação através de:

• Monitoramento da rede e da atividade do host para identificar violações de políticas e comportamentos anômalos;
• Monitoramento das condições do host e da rede para identificar configurações não autorizadas e outras condições que aumentem o risco de intrusão ou outros eventos de segurança;
• Análise dos resultados do monitoramento para identificar, classificar, dimensionar, relatar e orientar com precisão e rapidez as respostas a eventos de segurança; e
• Reação a intrusões e outros eventos e fraquezas de segurança para mitigar adequadamente o risco para a instituição e seus clientes, e para restaurar os sistemas da instituição.

Acesso limitado somente àqueles que precisam ver os dados para fazer seu trabalho

A Vormetric Data Security Platform e a SafeNet Multi-Factor Authentication da Thales proporcionam um controle de acesso de usuário de última geração.

• Separação de usuários de acesso privilegiado e dados confidenciais de usuários. Com o Vormetric Data Security Manager, os administradores podem criar uma forte separação de funções entre administradores privilegiados e proprietários de dados. A Vormetric Data Security Platform criptografa arquivos, mas deixa seus metadados visíveis. Desta forma, os administradores de TI, incluindo administradores de hipervisor, nuvem, armazenamento e servidores, podem realizar suas tarefas de administração de sistemas, sem ter acesso privilegiado aos dados confidenciais residentes nos sistemas que administram.
• Separação de funções administrativas. Fortes políticas de separação de funções podem ser aplicadas para garantir que um administrador não tenha controle completo das atividades de segurança de dados, chaves de criptografia, ou administração. Além disso, o Vormetric Data Security Manager suporta autenticação bifatorial para acesso administrativo.
• Controles granulares de acesso privilegiado. Esta solução da Thales pode aplicar políticas de gerenciamento de acesso muito granulares de usuários menos privilegiados, permitindo a proteção dos dados contra o uso indevido por usuários privilegiados e ameaças persistentes avançadas (APT). As políticas granulares de gerenciamento de acesso de usuário privilegiado podem ser aplicadas por usuário, processo, tipo de arquivo, hora do dia e outros parâmetros. As opções de uso são muito granulares; podem ser usadas para controlar não apenas a permissão de acesso a dados não criptografados, mas quais comandos do sistema de arquivos estão disponíveis para um determinado usuário.
• A autenticação multifatorial SafeNet da Thales confere acesso seguro às redes corporativas, protegendo as identidades dos usuários e garantindo que um usuário seja quem ele afirma ser.

Proteção de dados em repouso

A Thales protege dados usando a solução Vormetric Transparent Encryption com gerenciamento de chaves para dados em repouso, criptografia, tokenização com mascaramento dinâmico e mais. Estas técnicas tornam os dados sem sentido e sem valor sem as ferramentas para descriptografá-los.

Proteção de dados em movimento

Os dispositivos de criptografia de rede SafeNet com certificação FIPS da Thales oferecem alta garantia comprovada de segurança de rede para seus dados confidenciais em movimento, incluindo vídeos e gravações de voz em tempo real.

Monitoramento de acesso a dados

A Thales possibilita a cooperativas de crédito monitorar e identificar o acesso a dados especiais.A Vormetric Security Intelligence oferece registros de gerenciamento detalhados que especificam quais processos e usuários acessaram dados protegidos. Eles especificam quando usuários e processos acessaram dados, sob quais políticas, e se os pedidos de acesso foram permitidos ou negados. Os registros de gerenciamento também mostram quando um usuário privilegiado submete um comando como "trocar de usuário" para tentar imitar e potencialmente explorar as credenciais de outro usuário.

O compartilhamento destes registros com uma plataforma de gerenciamento de informações e eventos de segurança (SIEM) ajuda a descobrir padrões diferentes nos processos e no acesso de usuários, o que pode levar a investigações adicionais. Por exemplo, um administrador ou processo pode subitamente acessar volumes de dados muito maiores do que o normal, ou tentar fazer um download não autorizado de arquivos. Estes eventos poderiam apontar para um ataque persistente avançado (APT) ou atividades irregulares internas.