Rispetto degli elementi chiave delle Linee guida per la gestione del rischio tecnologico dell'Autorità monetaria di Singapore

Per salvaguardare i dati sensibili dei clienti e rispettare le Linee guida per la gestione del rischio tecnologico dell'Autorità monetaria di Singapore, le organizzazioni devono applicare controlli coerenti, solidi e granulari.

Entrust aiuta i clienti ad attuare le linee guida in tutta la loro organizzazione, in parte attraverso:

Moduli di sicurezza hardware (HSM) che forniscono un ambiente temprato a prova di manomissione per eseguire attività sicure di elaborazione crittografica, protezione delle chiavi, e gestione delle chiavi.

    Regolamento

    Panoramica della normativa

    L'Autorità monetaria di Singapore (Monetary Authority of Singapore, MAS) ha pubblicato le Linee guida per la gestione del rischio tecnologico (Technology Risk Management , TRM) per aiutare le società finanziarie a stabilire una solida gestione del rischio tecnologico, rafforzare la sicurezza del sistema e salvaguardare dati e transazioni sensibili.

    La TRM contiene dichiarazioni delle migliori pratiche di settore che le istituzioni finanziarie che conducono affari a Singapore dovrebbero adottare. La MAS chiarisce che, sebbene i requisiti di TRM non siano legalmente vincolanti, saranno un parametro di riferimento che il MAS utilizza per valutare il rischio delle istituzioni finanziarie.

    Descrizioni delle linee guida

    8.4.4 L'FI dovrebbe crittografare i nastri e i dischi di backup, inclusi i dischi USB, contenenti informazioni sensibili o riservate prima che vengano trasportati fuori sede per l'archiviazione.

    9.1.6 Le informazioni riservate archiviate su sistemi IT, server e database devono essere crittografate e protette mediante controlli di accesso rigorosi, tenendo presente il principio del "privilegio minimo".

    11.0.1.c Principio del controllo degli accessi: l'IF dovrebbe concedere diritti di accesso e privilegi di sistema solo in base alla responsabilità lavorativa e alla necessità di averli per adempiere ai propri doveri. L'IF dovrebbe verificare che nessuna persona in virtù del rango o della posizione abbia alcun diritto intrinseco di accedere a dati, applicazioni, risorse di sistema o strutture riservate.

    11.1.1 L'FI dovrebbe concedere agli utenti l'accesso ai sistemi e alle reti IT solo in base alle necessità d'uso ed entro il periodo in cui l'accesso è richiesto. L'FI dovrebbe garantire che il proprietario della risorsa autorizzi e approvi debitamente tutte le richieste di accesso alle risorse IT.

    11.2 Gestione degli accessi privilegiati.

    11.2.3.d. Concedere un accesso privilegiato in base alla "necessità di avere".

    11.2.3.e. Mantenere la registrazione di controllo delle attività di sistema eseguite dagli utenti privilegiati.

    11.2.3.f. Impedire agli utenti con privilegi di accedere ai registri di sistema in cui vengono acquisite le loro attività.

    13 sicurezza delle carte di pagamento (bancomat, carte di credito e di debito).

    Conformità

    HSM nShield® Entrust

    I moduli di sicurezza hardware (HSM) nShield Entrust forniscono un ambiente temprato a prova di manomissione per eseguire attività sicure di elaborazione crittografica, protezione delle chiavi, e gestione delle chiavi. Con questi dispositivi le organizzazioni possono distribuire soluzioni di sicurezza ad alta garanzia che soddisfano standard ampiamente consolidati ed emergenti di dovuta cura per i sistemi e le pratiche crittografiche, pur mantenendo un'elevata efficienza operativa.

    Risorse

    Brochure: Brochure della famiglia di HSM nShield Entrust

    Gli HSM nShield Entrust forniscono un ambiente temprato a prova di manomissione per eseguire attività sicure di elaborazione crittografica, generazione e protezione delle chiavi, crittografia e molto altro. Gli HSM nShield Entrust sono disponibili in tre fattori di forma con certificazione FIPS 140-2 e supportano diversi scenari di distribuzione.

    Soluzioni correlate

    Prodotti correlati