O Conselho Europeu adotou o Regulamento de Resiliência Operacional Digital (DORA) em novembro de 2022 para reforçar a resiliência das instituições financeiras aos ciberataques. Para tal, o DORA simplifica e harmoniza os requisitos na União Europeia para a segurança dos sistemas de informação e das redes das organizações que operam no setor financeiro, bem como dos fornecedores terceiros críticos de serviços relacionados com as TIC (Tecnologias de Informação e Comunicação).
Os principais pilares do regulamento DORA são:
O DORA aplica-se a uma vasta gama de prestadores de serviços financeiros, incluindo bancos, instituições de crédito, instituições de pagamento, instituições de moeda eletrónica, empresas de investimento e prestadores de serviços de criptoativos, entre outros. Mas o mais importante é que o DORA define os serviços essenciais de TIC prestados às instituições financeiras. Se uma organização for um fornecedor de serviços essenciais de TIC a uma instituição financeira, estará sujeita a uma supervisão regulamentar direta ao abrigo do quadro DORA. Isto inclui, por exemplo, plataformas de nuvem e serviços de análise de dados.
O DORA entrou em vigor em 16 de janeiro de 2023, com um período de implementação de dois anos. Espera-se que as entidades financeiras e os respetivos fornecedores e prestadores de serviços de TIC estejam em conformidade com o regulamento até 17 de janeiro de 2025.
As entidades que violarem os requisitos do presente regulamento podem ser objeto de coimas até dois por cento do seu volume de negócios anual a nível mundial ou, no caso de uma pessoa singular, uma coima máxima de 1 000 000 euros. O montante da coima dependerá da gravidade da infração e da cooperação da entidade financeira com as autoridades.
O DORA estabelece quadros e diretrizes para a gestão do risco destinados a ajudar a criar programas de gestão de risco maduros e a melhorar a resiliência operacional.
Artigo 8.1:
"...identificar, classificar e documentar adequadamente os ativos de informação..."
A CipherTrust Data Discovery and Classification identifica dados confidenciais estruturados e não estruturados no local e na nuvem. Os modelos incorporados permitem a rápida identificação de dados regulamentados, destacam os riscos de segurança e ajudam a descobrir lacunas na conformidade.
Artigo 9.2:
"...manter elevados padrões de disponibilidade, autenticidade, integridade e confidencialidade dos dados, quer estejam em repouso, em utilização ou em trânsito".
Proteger os dados em repouso:
A CipherTrust Data Security Platform oferece vários recursos para proteger dados em repouso em ficheiros, volumes e bases de dados. Incluindo:
Proteger dados em movimento:
Os High Speed Encryptors (HSE) da Thales fornecem encriptação de dados em movimento independente da rede (camadas 2, 3 e 4), garantindo que os dados estão seguros à medida que se deslocam de um local para outro ou do local para a nuvem e vice-versa. As nossas soluções de encriptação de rede permitem que os clientes protejam melhor os dados, o vídeo, a voz e os metadados contra escutas, vigilância e interceção aberta e discreta — sem comprometer o desempenho. Os HSE da Thales estão disponíveis como dispositivos físicos e virtuais, suportando um amplo espetro de velocidades de rede desde 10 Mbps a 100 Gbps.
Artigo 9.3, b:
"... minimizar o risco de corrupção ou perda de dados; acesso não autorizado e de falhas técnicas..."
Os produtos e soluções do OneWelcome identity & access management da Thales limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto. Com o apoio de uma autenticação forte (MFA), as políticas de acesso granular e as políticas de autorização refinadas ajudam a garantir que o utilizador certo tem acesso ao recurso certo no momento certo, minimizando assim o risco de acesso não autorizado.
Artigo 9.4, c:
"... implementar políticas que limitem o acesso físico e virtual aos recursos e dados do sistema de TIC ao que é necessário apenas para funções e atividades legítimas e aprovadas, e..."
A OneWelcome Identity Platform da Thales permite que as organizações limitem virtualmente (ou logicamente) o acesso a recursos confidenciais através da utilização de MFA (incluindo autenticação resistente a phishing) e políticas de acesso granular. Os cartões inteligentes SafeNet IDPrime podem ser utilizados para implementar o acesso físico a instalações sensíveis.
O módulo OneWelcome Consent & Preference Management da Thales permite às organizações recolher o consentimento dos consumidores finais, de modo a que as instituições financeiras possam ter uma visibilidade clara dos dados consentidos, permitindo-lhes assim gerir o acesso aos dados que estão autorizados a utilizar
Artigo 9.4, d:
”… mecanismos de autenticação fortes…”
"... medidas de proteção das chaves criptográficas através das quais os dados são encriptados".
O SafeNet Trusted Access é uma solução de gestão de acesso baseada na nuvem que facilita a gestão do acesso a serviços na nuvem e a aplicações empresariais com uma plataforma integrada que combina o início de sessão único, a autenticação multifator (MFA) e políticas de acesso baseadas em cenários.
O Key Management da Thales simplifica e reforça a gestão de chaves em ambientes empresariais e de nuvem num conjunto diversificado de casos de utilização.
Os Hardware Security Modules (HSM) protegem chaves criptográficas e fornecem um ambiente FIPS 140-2 de Nível 3 reforçado e inviolável para processamento criptográfico seguro, geração e proteção de chaves, encriptação e muito mais.
Artigo 10.1:
"... detetar atividades anómalas... monitorizar a atividade do utilizador..."
Os registos e relatórios de inteligência de segurança CipherTrust Transparent Encryption simplificam os relatórios de conformidade e aceleram a deteção de ameaças utilizando as principais informações de segurança e sistemas SIEM externos.
A extensão CipherTrust Transparent Encryption Ransomware Protection deteta atividades de identificação de ransomware (acesso excessivo a dados, exfiltração, encriptação não autorizada ou personificação com ações maliciosas).
O SafeNet Trusted Access permite que as organizações respondam e reduzam o risco de violação de dados, fornecendo uma pista de auditoria imediata e atualizada de todos os eventos de acesso a todos os sistemas.
O Regulamento DORA sublinha a necessidade de gerir o risco dos prestadores de serviços terceiros de TIC e a necessidade de as entidades financeiras disporem de "estratégias de saída"
A Thales ajuda as organizações a reduzir os riscos de terceiros, utilizando a gestão de chaves e encriptação para impor uma separação rigorosa de tarefas entre instituições financeiras e fornecedores externos e manter a portabilidade de cargas de trabalho para outros fornecedores, quando necessário.
Artigo 28.8:
"Para os serviços de TIC [de terceiros] que apoiam funções críticas ou importantes, as entidades financeiras devem adotar estratégias de saída".
"... medidas de proteção das chaves criptográficas através das quais os dados são encriptados".
O CipherTrust Cloud Key Manager pode reduzir os riscos de terceiros ao manter no local, sob o controlo total da instituição financeira, as chaves que protegem os dados confidenciais alojados por fornecedores de cloud terceiros ao abrigo de sistemas "bring your own keys" (BYOK).
O CipherTrust Transparent Encryption oferece uma separação completa das funções administrativas onde apenas utilizadores e processos autorizados podem ver dados não encriptados.
As soluções Data Security da Thales oferecem a gama mais abrangente de proteção de dados — tais como a Data Protection on Demand (DPoD) da Thales que fornece alta disponibilidade e cópias de segurança incorporadas aos seus serviços baseados na nuvem HSM Luna Cloud e CipherTrust Key Management — às aplicações de encriptação de rede HSE que fornecem opções para reposição.
Thales helps organizations comply with DORA by addressing essential requirements for risk management and managing third party risk. Thales helps organizations by: Identifying and classifying sensitive data for risk assessment Protecting data at rest, in use, and in motion...
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
Talvez o padrão de privacidade de dados mais abrangente até o momento, o GDPR afeta qualquer organização que processa dados pessoais de cidadãos da UE - independentemente de onde a organização está sediada.
Qualquer organização que desempenhe uma função no processamento de pagamentos com cartão de crédito e débito deve cumprir os rígidos requisitos de conformidade do PCI DSS para o processamento, armazenamento e transmissão de dados da conta.
Os requisitos de notificação de violação de dados após a perda de informações pessoais foram promulgados por países em todo o mundo. Eles variam de acordo com a jurisdição, mas quase universalmente incluem uma cláusula de “porto seguro”.
