Como é que as soluções da Thales ajudam na conformidade com a GLBA
A Lei Gramm-Leach-Bliley (GLBA) — também conhecida como a Lei de Modernização dos Serviços Financeiros de 1999 — exige que as instituições financeiras expliquem aos seus clientes as suas práticas de partilha de informações e salvaguardem dados confidenciais. O principal objetivo é prevenir e atenuar as ciberameaças. A Regra de Salvaguardas da Comissão Federal do Comércio (FTC, Federal Trade Commission) exige que as empresas abrangidas desenvolvam, implementem e mantenham um programa de segurança da informação com salvaguardas administrativas, técnicas e físicas concebidas para proteger as informações dos clientes.
A GLBA é composta por três regras principais relativas à privacidade e à proteção dos dados confidenciais dos consumidores que se encontram na posse das instituições financeiras:
A GLBA aplica-se a um conjunto alargado de empresas classificadas como instituições financeiras. A FTC explica que a GLBA se aplica a "todas as empresas, independentemente da sua dimensão, que estejam 'significativamente envolvidas' no fornecimento de produtos ou serviços financeiros". Isto inclui não só as empresas que fornecem produtos ou serviços financeiros, como empréstimos, aconselhamento financeiro ou seguros, mas também as empresas que fornecem avaliações, corretagem e serviços de empréstimo, depósito de cheques, empréstimos de curto prazo, serviços de estafeta, empréstimos não bancários e serviços de preparação de impostos, entre outros.
A lei Gramm-Leach-Bliley foi promulgada pelo Congresso em 1999 e está em pleno vigor. Em primeiro lugar, a FTC aplica o regulamento, embora outras agências federais, como o Federal Reserve Board e o FDIC, e os governos estaduais sejam responsáveis pela regulamentação dos prestadores de seguros.
Uma instituição financeira que viole a GLBA pode ser objeto de coimas de 100 000 dólares por cada violação. Os seus funcionários e diretores podem ser multados até 10 000 dólares por cada violação e ser presos durante cinco anos ou ambos.
A Thales ajuda as organizações a cumprir a GLBA, abordando os requisitos essenciais para proteger as informações dos clientes.
A Regra de Salvaguardas da GLBA exige o desenvolvimento, implementação e manutenção de um programa de segurança da informação com salvaguardas administrativas, técnicas e físicas concebidas para proteger as informações dos clientes.
Parte 314. b:
"avaliação de riscos que identifique... os riscos para a segurança das informações dos clientes"
A CipherTrust Data Discovery and Classification identifica dados confidenciais estruturados e não estruturados no local e na nuvem. Os modelos incorporados permitem a rápida identificação de dados regulamentados, destacam os riscos de segurança e ajudam a descobrir lacunas na conformidade.
Parte 314. c.1:
"Implementar e rever periodicamente os controlos de acesso. Determinar quem tem acesso às informações dos clientes e reconsiderar regularmente se ainda têm uma necessidade comercial legítima para ter acesso às mesmas".
As soluções de identity & access management OneWelcome da Thales limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto. Com o apoio de uma autenticação forte (MFA), as políticas de acesso granular e as políticas de autorização refinadas ajudam a garantir que o utilizador certo tem acesso ao recurso certo no momento certo, minimizando assim o risco de acesso não autorizado.
O módulo OneWelcome Consent & Preference Management da Thales permite às organizações recolher o consentimento dos consumidores finais, de modo a que as instituições financeiras possam ter uma visibilidade clara dos dados consentidos, permitindo-lhes assim gerir o acesso aos dados que estão autorizados a utilizar.
O CipherTrust Transparent Encryption encripta dados confidenciais e aplica políticas granulares de gestão de acesso para utilizadores com privilégios que podem ser aplicadas por utilizador, processo, tipo de ficheiro, hora do dia e outros parâmetros. Oferece uma separação completa de funções em que apenas os utilizadores e processos autorizados podem ver dados não encriptados.
Parte 314. c. 3:
"Proteger através da encriptação todas as informações dos clientes detidas ou transmitidas por si, tanto em trânsito através de redes externas como em repouso"
Proteger os dados em repouso:
A CipherTrust Data Security Platform oferece vários recursos para proteger dados em repouso em ficheiros, volumes e bases de dados. Incluindo:
Proteger chaves e certificados:
Os Hardware Security Modules Luna (HSM) protegem chaves criptográficas e fornecem um ambiente FIPS 140-2 Nível 3 reforçado e inviolável para processamento criptográfico seguro, geração e proteção de chaves, encriptação e muito mais. Os HSM Luna estão disponíveis no local, na nuvem como um serviço e em ambientes híbridos.
Proteger dados em movimento:
Os High Speed Encryptors (HSE) da Thales fornecem encriptação de dados em movimento independente da rede (camadas 2, 3 e 4), garantindo que os dados estão seguros à medida que se deslocam de um local para outro ou do local para a nuvem e vice-versa. As nossas soluções de encriptação de rede permitem que os clientes protejam melhor os dados, o vídeo, a voz e os metadados contra escutas, vigilância e interceção aberta e discreta — sem comprometer o desempenho.
Parte 314. c, 4:
“Adotar práticas de desenvolvimento seguras para as aplicações desenvolvidas internamente”
A CipherTrust Platform Community Edition facilita aos DevSecOps a implementação de controlos de proteção de dados em aplicações híbridas e multi-nuvem. A solução inclui licenças para o CipherTrust Manager Community Edition, Data Protection Gateway e CipherTrust Transparent Encryption for Kubernetes.
O CipherTrust Secrets Management é uma solução de gestão de segredos de última geração, que protege e automatiza o acesso a segredos em ferramentas DevOps e cargas de trabalho na nuvem, incluindo segredos, credenciais, certificados, chaves de API e tokens.
Parte 314. c, 5:
"Implementar autenticação multifator..."
O SafeNet Trusted Access é uma solução de gestão de acesso baseada na nuvem que fornece autenticação multifator comercial e pronta a utilizar com a mais vasta gama de métodos e formatos de autenticação de hardware e software.
Parte 314. c, 8:
"Mantenha um registo das atividades dos utilizadores autorizados e esteja atento a acessos não autorizados."
As Thales Data Security Solutions mantêm registos de acesso extensivos e impedem o acesso não autorizado. Em particular, os registos e relatórios de inteligência de segurança CipherTrust Transparent Encryption simplificam os relatórios de conformidade e aceleram a deteção de ameaças utilizando as principais informações de segurança e sistemas SIEM externos.
O SafeNet Trusted Access permite que as organizações respondam e reduzam o risco de violação de dados, fornecendo uma pista de auditoria imediata e atualizada de todos os eventos de acesso a todos os sistemas.
Parte 314. f, 2:
"Supervisionar os prestadores de serviços, ao: exigir, contratualmente, que os seus prestadores de serviços implementem e mantenham essas salvaguardas..."
O CipherTrust Cloud Key Manager pode reduzir os riscos de terceiros ao manter no local, sob o controlo total da instituição financeira, as chaves que protegem os dados confidenciais alojados por fornecedores de cloud terceiros ao abrigo de sistemas "bring your own keys" (BYOK).
O CipherTrust Transparent Encryption oferece uma separação completa das funções administrativas onde apenas utilizadores e processos autorizados podem ver dados não encriptados. A menos que seja fornecida uma razão válida para aceder aos dados, os dados confidenciais armazenados numa nuvem de terceiros não estarão acessíveis em texto não encriptado a utilizadores não autorizados.
As soluções Data Security da Thales oferecem a gama mais abrangente de proteção de dados — tais como a Thales Data Protection on Demand (DPoD) que fornece alta disponibilidade e cópias de segurança incorporadas aos seus serviços baseados na nuvem HSM Luna Cloud e CipherTrust Key Management — às aplicações de encriptação de rede HSE que fornecem opções para reposição.
Thales helps organizations comply with GLBA by addressing essential requirements for safeguarding customer information: Identifying and classifying sensitive customer data for risk assessment Controlling and monitoring access to sensitive data Protecting data at...
This eBook covers some of the most important regulations affecting Financial Services organizations in the United States and how Thales cybersecurity solutions help meet requirements for risk management, data privacy, access management and much more. Included regulations:...
Talvez o padrão de privacidade de dados mais abrangente até o momento, o GDPR afeta qualquer organização que processa dados pessoais de cidadãos da UE - independentemente de onde a organização está sediada.
Qualquer organização que desempenhe uma função no processamento de pagamentos com cartão de crédito e débito deve cumprir os rígidos requisitos de conformidade do PCI DSS para o processamento, armazenamento e transmissão de dados da conta.
Os requisitos de notificação de violação de dados após a perda de informações pessoais foram promulgados por países em todo o mundo. Eles variam de acordo com a jurisdição, mas quase universalmente incluem uma cláusula de “porto seguro”.
