Directives de l’Autorité monétaire de Singapour (MAS)
Conformez-vous aux éléments clés des directives de gestion des risques technologiques de l’Autorité monétaire de Singapour (MAS)
Pour protéger les données sensibles des clients et respecter la conformité aux directives de gestion des risques technologiques de l’Autorité monétaire de Singapour (MAS), les organisations doivent appliquer des contrôles cohérents, robustes et granulaires.
Entrust aide les clients à appliquer les directives dans toute leur organisation, notamment grâce à :
Des modules matériels de sécurité (HSM) qui fournissent un environnement renforcé et inviolable pour le traitement cryptographique sécurisé, la protection et la gestion des clés.
Règlement
Aperçu de la réglementation
L’Autorité monétaire de Singapour (Monetary Authority of Singapore ou MAS) a publié des directives de gestion des risques technologiques (TRM) pour aider les entreprises financières à établir une gestion saine de ces risques, à renforcer la sécurité de leurs systèmes et à protéger les données et transactions sensibles.
Les directives TRM énoncent les meilleures pratiques du secteur que les institutions financières conduisant des activités à Singapour doivent adopter. La MAS précise que, bien que les exigences TRM ne soient pas juridiquement contraignantes, elles constitueront une référence utilisée par la MAS pour évaluer le risque des institutions financières.
Descriptions des directives
8.4.4 L’institution financière doit chiffrer les bandes et disques de sauvegarde, y compris les disques USB, contenant des informations sensibles ou confidentielles avant qu’ils ne soient transportés hors site pour stockage.
9.1.6 Les informations confidentielles stockées sur les systèmes informatiques, les serveurs et les bases de données doivent être chiffrées et protégées par des contrôles d’accès rigoureux, en gardant à l’esprit le principe du « moindre privilège ».
11.0.1.c Principe de contrôle d’accès - L’institution financière ne doit accorder des droits d’accès et des privilèges système qu’en fonction de la responsabilité du poste et de la nécessité de les détenir pour remplir ses fonctions. L’institution financière doit s’assurer qu’aucune personne en vertu de son grade ou de sa position ne possède un droit intrinsèque d’accéder à des données, applications, ressources système ou installations confidentielles.
11.1.1 L’institution financière ne doit accorder un accès utilisateur aux systèmes et réseaux informatiques qu’en cas de nécessité absolue et pour la période où l’accès est requis. L’institution financière doit s’assurer que le responsable des ressources autorise et approuve dûment toutes les demandes d’accès aux ressources informatiques.
11.2 Gestion des accès utilisateur privilégiés.
11.2.3.d. Accorder un accès privilégié en cas de nécessité absolue.
11.2.3.e. Maintenir la journalisation à des fins d’audit des activités système effectuées par les utilisateurs privilégiés.
11.2.3.f. Interdire aux utilisateurs privilégiés d’accéder aux journaux système dans lesquels leurs activités sont capturées.
13 Sécurité des cartes de paiement (distributeurs automatiques, cartes de crédit et de débit).
Conformité
HSM Entrust nShield®
Les modules matériels de sécurité (HSM) nShield d’Entrust fournissent un environnement renforcé et inviolable pour le traitement cryptographique sécurisé, la protection et la gestion des clés. Avec ces appareils, les organisations peuvent déployer des solutions haute sécurité qui satisfont aux normes largement établies et émergentes de diligence raisonnable pour les systèmes et les pratiques cryptographiques, tout en maintenant une efficacité opérationnelle élevée.
Ressources
Brochures : Brochure de la famille des HSM Entrust nShield
Les HSM Entrust nShield offrent un environnement renforcé et inviolable pour le traitement cryptographique sécurisé, la génération de clés et leur protection, le chiffrement, etc. Disponibles selon trois facteurs de forme certifiés FIPS 140-2, les HSM Entrust nShield conviennent pour de nombreux scénarios de déploiement.
Solutions connexes
Loi sur la protection des données des Philippines de 2012
Protection des données à caractère personnel
Règlement DSP2 (Directive européenne sur les services de paiement)
Protégez les données sensibles dans l’environnement PSD2.