Conformidade com as regras de controle de segurança do cliente da SWIFT

Como descrito pela Investopedia, a SWIFT, Sociedade Mundial de Telecomunicações Financeiras Interbancárias, é uma rede de mensagens que as instituições financeiras utilizam para transmitir informações e instruções de forma segura através de um sistema padronizado de códigos.

Regras de controle de segurança do cliente (CSC) da SWIFT

Segundo a SWIFT¹:

As regras de controle de segurança do cliente da SWIFT são um conjunto de controles de segurança obrigatórios e indicados para usuários da rede SWIFT.

Os controles de segurança obrigatórios estabelecem uma segurança básica para toda a comunidade, e devem ser implementados por todos os usuários em sua infraestrutura SWIFT local. A SWIFT optou por priorizar estes controles obrigatórios para estabelecer uma meta realista de ganho de segurança tangível e de redução de riscos de curto prazo.

Os controles indicados são baseados nas boas práticas que a SWIFT recomenda que os usuários implementem. Com o tempo, os controles obrigatórios podem mudar devido à evolução do cenário de ameaças, e alguns controles indicados podem se tornar obrigatórios.

Todos os controles são articulados em torno de três objetivos abrangentes:

1. Proteger seu ambiente
2. Conhecer e limitar o acesso
3. Detectar e responder

Thales pode ajudar a cumprir com todos os três objetivos.

1. https://www.swift.com/myswift/customer-security-programme-csp/security-controls

A Thales pode ajudar a cumprir com as seguintes seções das regras CSC:

Seção 1.2. "Controle de conta autorizada do sistema operacional"
Seção 5. "Gerenciar identidades e segregar autorizações"
Seção 6. "Detectar atividade anômala em sistemas ou registros de transações"3

CipherTrust Data Security Platform

A CipherTrust Data Security Platform da Thales torna o gerenciamento da segurança de dados fácil e eficiente em toda a sua empresa. Criada em uma infraestrutura extensível, a plataforma apresenta múltiplos produtos de segurança de dados que podem ser implantados individualmente ou em combinação para fornecer criptografia avançada, tokenização e gerenciamento centralizado de chaves. Esta solução de segurança de dados prepara sua empresa para o próximo desafio de segurança e novos requisitos de conformidade com o mais baixo TCO.

Controle de acesso a dados

• Separação de usuários de acesso privilegiado e dados confidenciais de usuários. Com a CipherTrust Data Security Platform, os administradores podem criar uma forte separação de funções entre administradores privilegiados e proprietários de dados. A CipherTrust Data Security Platform criptografa arquivos, mas deixa seus metadados visíveis. Desta forma, os administradores de TI, incluindo administradores de hipervisor, nuvem, armazenamento e servidores, podem realizar suas tarefas de administração de sistemas, sem ter acesso privilegiado aos dados confidenciais residentes nos sistemas que administram.
• Separação de funções administrativas. Fortes políticas de separação de funções podem ser aplicadas para garantir que um administrador não tenha controle completo das atividades de segurança de dados, chaves de criptografia, ou administração. Além disso, o CipherTrust Manager utiliza autenticação bifatorial para acesso administrativo.
• Controles granulares de acesso privilegiado. A solução da Thales pode aplicar políticas de gerenciamento de acesso muito granulares de usuários menos privilegiados, permitindo a proteção dos dados contra o uso indevido por usuários privilegiados e ameaças externas. As políticas granulares de gerenciamento de acesso de usuário privilegiado podem ser aplicadas por usuário, processo, tipo de arquivo, hora do dia e outros parâmetros. As opções de uso são muito granulares; podem ser usadas para controlar não apenas a permissão de acesso a dados não criptografados, mas quais comandos do sistema de arquivos estão disponíveis para um determinado usuário.

Registros de inteligência de segurança

Os registros detalhados de auditoria de acesso aos dados fornecidos pela CipherTrust Transparent Encryption são úteis não apenas para conformidade, mas também para identificação de tentativas de acesso não autorizado, bem como para criar padrões básicos de acesso de usuários autorizados. A CipherTrust Security Intelligence completa o quadro tendo integrados os principais sistemas de gerenciamento de informações e eventos de segurança (SIEM) que tornam estas informações acionáveis. A solução se dimensiona e responde automaticamente a tentativas de acesso não autorizado, e todos os dados necessários para criar padrões de comportamento necessários para a identificação de uso suspeito por usuários autorizados.