全球当局和政府采取措施并发布监管框架，以保护金融部门免受日益严重的威胁，并使银行和其他机构具有弹性。欧盟委员会颁布了数字运营弹性法案(DORA)，而在新加坡，金融管理局发布了解决技术和网络风险的咨询意见。

印度的金融部门面临着与其他地方相同的挑战；因此，印度证券交易委员会 (SEBI)于 2023 年 3 月 6 日推出了SEBI 受监管实体 (RE) 采用云服务的框架。该框架是对 SEBI 现有云计算指南的重要补充，设定了基准安全和法规遵从性标准，旨在帮助 RE 实施安全且合规的云采用实践。

SEBI 框架的目的

该框架的主要目的是强调受监管实体在采用云计算之前需要实施的主要风险和强制控制措施。该通知概述了 RE 在采用云计算时要考虑的九项原则和要求。该框架是在咨询了市场利益相关者、监管机构、云服务提供商、政府机构和 SEBI 咨询委员会后制定的。

适用性

符合 SEBI 框架要求的 RE 如下：

• 证券交易所
• 清算公司
• 仓库
• 资产管理公司
• 发行和股份转让代理人的合格注册商
• 了解您的客户 (KYC) 注册机构

当前使用云服务的 RE 应确保在适用的情况下对所有此类安排进行修订，并应在 12 个月内且不迟于 2024 年 3 月 6 日符合该框架。

如何实现合规

该框架基于九项高级原则，并提供了 RE 必须满足以采用云计算的强制性要求。

RE 必须为云计算实施企业范围的治理和风险管理策略。尽管 RE 必须遵守既定的规章制度，但他们可以根据业务需求和技术风险评估来选择部署。他们还必须选择经电子和信息技术部 (MEitY) 认证的云服务提供商 (CSP)。请务必记住，RE（而不是 CSP）全权负责其所有云服务，包括数据安全、日志、合规性和隐私。

数据所有权是合规性的一个重要方面。RE 必须完全控制和拥有他们的所有数据。数据必须在印度管辖范围内处理和存储，这一原则适用于国内外公司。同样，RE 和 SEBI 有权随时访问任何信息，原始数据必须在印度可供海外投资者使用。

尽职调查也是该框架的一项基本原则。RE 必须评估实施云服务的影响、风险和优势，以剩余风险和数据和服务的关键性为指导。同样，RE 应根据财务稳定性、安全风险评估、数据所有权、机密性、数据保护、对现有规范和法规的遵守情况以及安全控制的充分性来选择 CSP。与 CSP 签订的合同必须明确且可执行，保护 RE 的利益，满足管理需求，并遵守监管控制。

RE 评估并确保其业务连续性计划 (BCP) 符合 SEBI 发布的云框架和其他指南也很重要。他们应该评估网络弹性流程，定期进行灾难恢复演练并制定应急计划以有效处理云服务的任何中断或关闭。RE 应确定供应商锁定的风险并定期评估现有协议。为降低风险，RE 应考虑云中立解决方案，并制定具有风险指标、触发器、场景、迁移选项等的退出策略。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 金融服务行业的3个数据治理经验教训

• 支付型硬件安全模块的5个主要优势

• Thales payShield 获得法国 Cartes Bancaires HSM 认证

• 网络攻击会引发下一次金融危机吗？

• 拉丁美洲地区金融机构使用Thales CipherTrust平台简化内部和云端数据保护