发布日期:2024-12-10 浏览次数:
《数字运营弹性法案》(DORA)协调了金融部门运营弹性相关规则,适用于 20 种不同类型的金融实体和 ICT 第三方服务提供商,覆盖整个欧盟约 22,000 个组织。
DORA 旨在加强银行、保险公司和投资公司等金融实体的 IT 安全,以确保欧洲金融业在网络攻击数量和严重程度不断增加的情况下仍具有韧性。新法规要求金融实体及其关键 ICT 供应商实施合同、组织和技术措施,以提高该行业的数字运营韧性水平。
DORA 于 2023 年 1 月 16 日生效,并将自 2025 年 1 月 17 日起适用于所有 27 个欧盟成员国。
DORA 围绕五大关键支柱构建,每个支柱旨在解决金融服务数字运营弹性的不同方面。
ICT 风险管理和治理: DORA 要求管理层和董事会成员负责定义、实施和维护 ICT 风险管理框架,以有效提高数字运营弹性。DORA 要求金融机构建立内部治理和控制框架,确保有效、审慎地管理 ICT 风险。
事件报告:金融服务机构需要建立系统来监控、管理、记录、分类和报告与 ICT 相关的事件,以评估攻击、减轻对客户和运营的影响并向当局报告。
数字运营弹性测试:金融实体需要每年实施并执行全面的数字运营弹性测试计划。DORA 还概述了金融实体需要确保 ICT 第三方提供商参与其数字运营弹性测试(如果适用)。
ICT 第三方风险: DORA 的重点之一是 ICT 第三方风险及其在风险缓解中的作用。金融机构严重依赖可能位于欧盟以外的外部 ICT 提供商,例如多家云提供商。因此,金融机构需要将 ICT 第三方风险作为其 ICT 风险管理框架的一个组成部分。
信息共享: DORA 还鼓励自愿共享有关网络威胁信息和情报的信息,以增强行业的数字运营弹性。
DORA 适用于广泛的金融服务提供商,包括银行、信贷机构、支付机构、电子货币机构、投资公司和加密资产服务提供商等。重要的是,DORA 定义了向金融机构提供的关键 ICT 服务。如果某个组织是向金融机构提供关键 ICT 服务的提供商,则它将受到 DORA 框架下的直接监管。例如,这包括云平台和数据分析服务,即使它们位于欧盟以外。
DORA 是一项欧盟法规,这意味着它自 2025 年 1 月 17 日起成为欧盟法律。与欧盟指令不同,DORA 不必转化为每个欧盟成员国的国家立法。不遵守 DORA 会受到严厉处罚:
违反 DORA 的金融实体可能面临最高相当于其全球年营业额 2% 的罚款,对于个人,最高罚款为 1,000,000 欧元。罚款金额取决于违规的严重程度以及金融实体与当局的合作程度。
被欧洲监管机构指定为“关键”的第三方 ICT 服务提供商可能因不遵守 DORA 而面临最高 5,000,000 欧元的罚款,或就个人而言,最高 500,000 欧元的罚款。ESA 将有权实施这些罚款。
我们的解决方案可帮助金融机构和第三方 ICT 提供商遵守 DORA,方法是简化合规性并自动化安全,从而减轻安全和合规团队的负担。我们帮助满足法规第 8、9、10、11、19 和 28 条规定的网络安全风险管理基本要求,涵盖 ICT 风险管理和治理、事件报告和 ICT 第三方风险管理。
我们在网络安全的三个关键领域提供全面的网络安全解决方案:应用程序安全、数据安全以及身份和访问管理。
应用程序安全
在云端、本地或混合模式下大规模保护应用程序和 API。我们市场领先的产品套件包括 Web 应用程序防火墙 (WAF)、针对分布式拒绝服务 (DDoS) 和恶意 BOT 攻击的保护、API 安全、安全的内容分发网络 (CDN) 和运行时应用程序自我保护 (RASP)。
数据安全
使用加密、令牌化和密钥管理,发现和分类混合 IT 中的敏感数据,并在任何地方自动保护这些数据,无论是静态、动态还是使用中。Thales解决方案还可以识别、评估和确定潜在风险的优先级,以进行准确的风险评估,以及识别异常行为,并监控活动以验证合规性,从而使组织能够确定将精力投入到哪些方面的优先顺序。
身份和访问管理
为客户、员工和合作伙伴提供无缝、安全且值得信赖的应用程序和数字服务访问。我们的解决方案根据内部和外部用户的角色和环境限制其访问权限,并采用精细的访问策略和多重身份验证,帮助确保在正确的时间向正确的用户授予对正确资源的访问权限。
Thales如何提供帮助:
发现和分类所有公共、私有和影子 API 的潜在风险。
识别本地和云中存在风险的结构化和非结构化敏感数据。
识别当前的合规状态,记录差距,并提供完全合规的途径。
解决方案:
应用程序安全
API 安全
数据安全
数据风险分析
漏洞管理
Thales如何提供帮助:
在本地、跨云以及大数据或容器环境中加密静态数据。
对数据库中的敏感信息进行假名化。
使用高速加密保护动态数据。
获得完整的敏感数据活动可见性,跟踪谁有访问权限,审核他们正在做什么并记录。
解决方案:
数据安全
Tokenization(令牌化/标记化/数据脱敏)
密钥管理
高速加密
数据活动监控
数据治理
Thales如何提供帮助:
使用 Web 应用程序防火墙检测和预防网络威胁,确保无缝运行和安心。
在继续允许合法流量的同时,保护关键网络资产免受 DDoS 攻击和坏机器人的侵害。
跨云和本地系统的结构化和非结构化数据的数据活动监控。
解决方案:
应用程序安全
Web 应用程序防火墙
DDoS 保护
机器人保护
API 保护
数据安全
数据活动监控
数据风险分析
Thales如何提供帮助:
根据角色和上下文使用策略限制内部和外部用户对系统和数据的访问。
根据风险评分应用上下文安全措施。
利用智能卡实现对敏感设施的物理访问。
解决方案:
身份和访问管理
员工访问管理
自适应访问
数据安全
透明加密
数据风险分析
Thales如何提供帮助:
使用最广泛的硬件和软件方法和形式因素启用多因素身份验证 (MFA)。
根据数据/应用程序的敏感度构建和部署自适应身份验证策略。
解决方案:
身份和访问管理
多因素身份验证
基于风险的身份验证
Thales如何提供帮助:
在 FIPS 140-2 Level 3环境中保护加密密钥。
简化云和本地环境中的密钥管理。
解决方案:
数据安全
HSM(硬件安全模块)
密钥管理
Thales 如何提供帮助:
自动协调生产变更。
漏洞评估和风险缓解。
检测数据层模式的变化。
生产级别变更的审批流程。
解决方案:
数据安全
漏洞管理
编排、工作流和脚本
Thales 如何提供帮助:
使用 Web 应用程序防火墙检测和预防网络威胁,确保无缝操作和安心。
保护 ICT 网络性能和完整性免受 DDoS 攻击和坏机器人的侵害,同时继续允许合法流量。
解决方案:
应用程序安全
Web 应用程序防火墙
DDoS 保护
机器人保护
Thales 如何提供帮助:
跨云和本地系统的结构化和非结构化数据的数据活动监控。
生成所有系统的所有访问事件的审计跟踪和报告,将日志流式传输到外部 SIEM 系统。
解决方案:
数据安全
数据活动监控
身份和访问管理
员工访问管理
Thales如何提供帮助:
在短短三秒钟内缓解 DDoS 攻击。
实施预防措施以预测和避免危机情况。
解决方案:
应用程序安全
DDoS 保护
数据安全
人工智能
Thales如何提供帮助:
一年的保留记录可立即访问以进行详细搜索和调查。审计数据会自动存档,但仍可在几秒钟内访问以进行查询和报告。
解决方案:
数据安全
报告和门户
Thales如何提供帮助:
通过维护对加密密钥的本地控制来降低第三方风险,保护云中托管的数据。
确保云提供商管理员和您的组织之间的角色完全分离,限制对敏感数据的访问。
监控和警报异常以检测和防止不必要的活动破坏供应链活动。
实现与供应商、合作伙伴或任何第三方用户的关系管理;明确授权访问权限。
通过使用基于关系的细粒度授权来最小化特权。
解决方案:
数据安全
透明加密
数据活动监控
用户权限管理
发现和分类
身份和访问管理
第三方访问控制
委托用户管理
外部授权
作为Thales的合作伙伴,揽阁信息与您一同解决合规性要求的各类问题,欢迎联系揽阁信息获取更多信息。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
