Einhaltung wichtigster Leitlinien zum Technologie-Risikomanagement der Monetary Authority of Singapore (auch MAS Singapore)

Um vertrauliche Kundendaten zu schützen und die Leitlinien der Monetary Authority of Singapore zum Technologie-Risikomanagement einzuhalten, müssen Organisationen konsistente, solide und granulare Kontrollen anwenden.

Entrust hilft seinen Kunden dabei, die Leitlinien in der gesamten Organisation einzuhalten, unter anderem durch:

Hardware-Sicherheitsmodule (HSMs), die eine sicherheitsgehärtete, manipulationssichere Umgebung für sichere kryptographische Verarbeitung, Schlüsselschutz und Schlüsselverwaltung bieten.

    Regelung

    Übersicht der Leitlinien

    Die Monetary Authority of Singapore (MAS) hat Leitlinien zum Technologie-Risikomanagement (TRM) veröffentlicht, um Finanzdienstleister dabei zu helfen, ein solides Technologie-Risikomanagement zu implementieren, die Systemsicherheit zu stärken und vertrauliche Daten und Transaktionen zu schützen.

    Die TRM enthält Aussagen zu den Best Practices der Branche, die Finanzinstitute, die in Singapur tätig sind, übernehmen sollenDie MAS (Monetary Suthority Singapore) stellt klar, dass die TRM-Anforderungen zwar nicht rechtlich bindend sind, sie aber ein Maßstab sind, den die MAS bei der Bewertung des Risikos von Finanzinstituten heranzieht.

    Leitlinienbeschreibung

    8.4.4 Das Finanzinstitut sollte Sicherungsbänder und -Datenträger, einschließlich USB-Datenträger, verschlüsseln, die sensible oder vertrauliche Daten enthalten, bevor sie zur externen Aufbewahrung transportiert werden.

    9.1.6 Vertrauliche Daten, die auf IT-Systemen, Servern und Datenbanken gespeichert sind, sollten verschlüsselt und durch strenge Zugriffskontrollen geschützt werden, wobei das „Least-Privilege-Prinzip“ zu beachten ist.

    11.0.1.c Prinzip der Zugriffskontrolle – Das Finanzinstitut sollte Zugriffsrechte und Systemprivilegien nur auf der Grundlage des Verantwortungsbereichs und der Notwendigkeit zur Erfüllung der eigenen Aufgaben gewähren. Das Finanzinstitut sollte sicherstellen, dass keine Person aufgrund ihres Ranges oder ihrer Position das Recht auf Zugriff auf vertraulichen Daten, Anwendungen, Systemressourcen oder Einrichtungen hat.

    11.1.1 Das Finanzinstitut sollte Benutzern Zugriff auf IT-Systeme und Netzwerke nur nach Bedarf und in dem Zeitraum gewähren, in dem der Zugriff erforderlich ist. Das Finanzinstitut sollte sicherstellen, dass der Ressourceneigentümer alle Anfragen zum Zugriff auf IT-Ressourcen ordnungsgemäß autorisiert und genehmigt.

    11.2 Verwaltung des privilegierten Zugriffs.

    11.2.3.d. Gewähren Sie privilegierten Zugriff nach dem „Need-to-have“-Prinzip.

    11.2.3.e. Führen Sie eine Audit-Protokollierung der von privilegierten Benutzern durchgeführten Systemaktivitäten durch.

    11.2.3.f. Verhindern Sie, dass privilegierte Benutzer auf Systemprotokolle zugreifen können, in denen ihre Aktivitäten erfasst werden.

    13. Sicherheit von Zahlungskarten (Geldautomaten, Kredit- und Debitkarten).

    Compliance

    Entrust nShield® HSMs

    nShield Hardware-Sicherheitsmodule (Hardware Security Modules, HSMs) von Entrust bieten eine sicherheitsgehärtete, manipulationssichere Umgebung für sichere kryptographische Verarbeitung, Schlüsselschutz und Schlüsselverwaltung. Mit diesen Geräten können Organisationen hochsichere Sicherheitslösungen bereitstellen, die weithin etablierte und neu entstehende Sorgfaltsstandards für kryptographische Systeme und Verfahren erfüllen, und gleichzeitig eine hohe betriebliche Effizienz aufrechterhalten.

    Ressourcen

    Broschüren: Broschüre zur Entrust nShield HSM-Produktfamilie

    Entrust nShield HSMs bieten eine sicherheitsgehärtete, manipulationssichere Umgebung für sichere kryptographische Verarbeitung, Schlüsselerstellung und -schutz, Verschlüsselung und vieles mehr. Die Entrust nShield-HSMs sind in drei „FIPS 140-2“-zertifizierten Formfaktoren erhältlich und unterstützen eine Vielzahl von Einsatzszenarien.

    Verwandte Lösungen

    Verwandte Produkte