萨班斯-奥克斯利法案（SOX）

萨班斯-奥克斯利法案 (SOX) 规范了上市公司的财务报告和审计。该法案对报告、披露和内部控制制定了严格的要求，并规定了违规的处罚。萨班斯-奥克斯利法案构成了公司治理结构，为美国企业建立了更高水平的财务责任。如果企业被发现不合规，公司高管可能会面临刑事诉讼和处罚。

萨班斯·奥克斯利法案（SOX）第302和304条制定了与数据保护相关的标准，适用于美国上市公司和会计师事务所。

Thales可通过以下方式帮助组织满足萨班斯-奥克斯利法案 (SOX) 合规要求：

• 访问控制

• 加密和密钥管理

• 安全情报

合规性要求

萨班斯-奥克斯利法案：第 404 条

萨班斯-奥克斯利法案第 404 条有两项主要的合规要求：

• 管理层负责建立和维护能够实现准确财务报告的内部控制和程序，并在每个财政年度的内部控制报告中评估这种状况。

• 编制或发布年度审计的公共会计师事务所必须证明并报告管理层的年度评估。

萨班斯-奥克斯利法案：第 302 条

萨班斯-奥克斯利法案第 302 条对此进行了扩展，并增加了合规要求：

• 列出内部控制和信息的所有缺陷，并报告任何涉及内部员工的欺诈行为。

• 详细说明内部控制的重大变化，或可能对内部控制产生负面影响的因素。

启示

SOX 合规要求对上市公司保护数据的影响如下：

• 任何财务信息都需要得到保护，并确保其完整性。

• 需要确定保护这些数据的特定内部安全控制措施，必须进行审计，并且每年重新评估这种安全态势——包括由于条件变化而导致的任何变化或缺陷。

合规性遵守方法

我们可通过以下方式帮助您的组织遵守萨班斯-奥克斯利法案：

• 数据发现和分类

• 数据访问控制

• 静态数据的加密和标记化（假名化）

• 动态数据加密

• 加密密钥管理

• 保存和监控用户访问日志

• 使用硬件安全模块执行加密过程并保护加密密钥

数据发现和分类

保护敏感数据的第一步是找到组织中数据的位置，将其归类为敏感数据并进行分类（例如 PII、财务、IP、HHI、客户机密等），以便您可以应用最合适的数据保护技术。定期监控和评估数据也很重要，以确保不会忽略新数据并且您的组织不会违反合规性。

Thales 的CipherTrust 数据发现和分类可有效识别本地和云中的结构化和非结构化敏感数据。该解决方案支持无代理和基于代理的部署模型，提供内置模板，可快速识别受监管数据、突出显示安全风险并帮助您发现合规性漏洞。简化的工作流程可揭示安全盲点并缩短补救时间。详细的报告支持合规计划并促进高管沟通。

强大的访问管理和身份验证

Thales访问管理和身份验证解决方案提供组织遵守数据安全法规所需的安全机制和报告功能。我们的解决方案通过在用户登录存储敏感数据的应用程序时实施适当的访问控制来保护敏感数据。通过支持广泛的身份验证方法和策略驱动的基于角色的访问，我们的解决方案可帮助企业降低因凭证泄露或被盗或内部凭证滥用而导致数据泄露的风险。

支持智能单点登录和逐步身份验证，使组织能够为最终用户提供最佳便利，确保他们仅在需要时进行身份验证。全面的报告功能使企业能够对所有访问和身份验证事件进行详细的审计跟踪，确保他们能够证明自己符合各种法规。

保护静态敏感数据

CipherTrust 数据安全平台是一套以数据为中心的安全产品和解决方案，将数据发现、保护和控制统一在一个平台上。

• 发现：组织必须能够发现数据，无论它位于何处，并对其进行分类。这些数据可以有多种形式：文件、数据库和大数据，并且可以存储在本地存储、云中和备份中。数据安全和合规性始于在黑客和审计人员之前找到暴露的敏感数据。CipherTrust 数据安全平台使组织能够通过高效的数据发现、分类和风险分析全面了解本地和云中的敏感数据。

• 保护：一旦组织知道其敏感数据的位置，就可以应用加密或标记化等保护措施。为了通过加密和标记化成功保护敏感数据，组织必须保护、管理和控制加密密钥本身。CipherTrust 数据安全平台提供全面的数据安全功能，包括具有访问控制的文件级加密、应用程序层加密、数据库加密、静态数据屏蔽、具有基于策略的动态数据屏蔽的无保险库标记化以及保险库标记化，以支持广泛的数据保护用例。

• 控制：组织需要控制对其数据的访问并集中密钥管理。每项数据安全法规和要求都要求组织能够监控、检测、控制和报告对数据和加密密钥的授权和未授权访问。CipherTrust 数据安全平台在多个云服务提供商(CSP) 和混合云环境中提供强大的企业密钥管理，以集中管理加密密钥并配置安全策略，以便组织能够控制和保护云中、本地和混合环境中的敏感数据。

• 监控：最后，企业需要监控对敏感数据的访问，以识别来自恶意内部人员、特权用户、APT 和其他网络威胁的持续或近期攻击。CipherTrust安全情报日志和报告使用领先的安全信息和事件管理 (SIEM) 系统简化合规性报告并加快威胁检测。该解决方案允许立即自动升级和响应未经授权的访问尝试，并提供构建识别授权用户可疑使用行为所需的所有数据。

保护移动中的敏感数据

Thales高速加密器(HSE) 提供独立于网络的动态数据加密（第 2、3 和 4 层），确保数据在站点间或从本地到云再返回时的安全。我们的 HSE 解决方案可让客户更好地保护数据、视频、语音和元数据免遭窃听、监视以及公开和秘密拦截 — 所有这些都以实惠的成本实现，且不会影响性能。

保护密钥

Thales的Luna HSM为安全加密处理、密钥生成和保护、加密等提供坚固、防篡改的环境。Luna HSM有三种 FIPS 140-2 认证外形，支持各种部署场景。

此外，Luna HSM还具有以下特点：

• 生成并保护根密钥和证书颁发机构 (CA) 密钥，为各种用例的 PKI 提供支持

• 签署您的应用程序代码，以确保您的软件保持安全、未被篡改和真实

• 创建数字证书，用于对物联网应用和其他网络部署的专有电子设备进行认证和验证

作为Thales的合作伙伴，揽阁信息与您一同解决合规性要求的各类问题，欢迎联系揽阁信息获取更多信息。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• SOC 2 合规指南
• 您需要了解的有关 FIPS 合规性的一切
• CipherTrust Transparent Encryption对于数据保护和隐私合规的重要性
• 在AWS上使用Thales CDSP的标记化解决方案，满足PCI DSS合规性要求
• 什么是 CCPA 合规？新手指南
• 在 2025年4月30日之前满足 DORA 合规性需要采取的 3 个步骤