シンガポール金融庁のガイドライン
シンガポール金融庁の技術リスク管理ガイドラインの主要コンポーネントに準拠します
機密性の高い顧客データを保護し、シンガポール金融庁のテクノロジーリスク管理ガイドラインに準拠するには、組織は一貫性のある堅牢で詳細な管理を適用する必要があります。
Entrustは、顧客が組織全体のガイドラインに対応するために、次のような役割を担っています。
安全な暗号処理と、キーの保護、およびキーの管理のための、堅牢な耐タンパ性の環境を提供するハードウェア・セキュリティ・モジュール(HSM)。
規制
規制の概要
シンガポール金融庁(MAS)は、金融会社が健全な技術リスク管理を確立し、システムセキュリティを強化し、機密データと取引を保護するための技術リスク管理(TRM)ガイドラインを発効しました。
TRMには、シンガポールでビジネスを行う金融機関が採用すると期待される業界のベストプラクティスのステートメントが記載されています。 MASは、TRM要件に法的拘束力はありませんが、金融機関のリスクを評価する際にMASが使用するベンチマークになることを明確にしています。
ガイドラインの説明
8.4.4 FIは、機密情報または機密情報を含むバックアップテープおよびディスク(USBディスクを含む)を、保管のためにオフサイトに輸送する前に、暗号化する必要があります。
9.1.6 ITシステム、サーバー、およびデータベースに保存されている機密情報は、「最小権限」の原則を念頭に置いて、強力なアクセス制御によって暗号化および保護する必要があります。
11.0.1.C アクセス制御の原則 – Fiは、業務上の責任と職務を遂行するための必要性に基づいて、アクセス権とシステム権限のみを付与する必要があります。 FIは、機密データ、アプリケーション、システムリソース、または施設にアクセスする固有の権利を、ランクまたは地位に基づいて誰も持っていないことを確認する必要があります。
11.1.1 FIは、必要に応じて、およびアクセスが必要な期間内にのみ、ITシステムおよびネットワークへのユーザーのアクセスを許可する必要があります。 FIは、リソース所有者がITリソースにアクセスするための要求をすべて適切に承認および許可することを確認する必要があります。
11.2 特権アクセス管理。
11.2.3.d. 「必要に応じて」、特権アクセスを許可します。
11.2.3.e. 特権ユーザーが実行したシステムアクティビティの監査ログを維持します。
11.2.3.f. 特権ユーザーが、アクティビティがキャプチャされているシステムログにアクセスすることを禁止します。
13のペイメントカードセキュリティ(現金自動預け払い機、クレジットカード、デビットカード)。
コンプライアンス順守
Entrust nShield® HSM
EntrustのEntrust nShieldハードウェア・セキュリティ・モジュール(HSM)は、安全な暗号化処理、キーの保護、およびキーの管理のための、堅牢で耐タンパー性のある環境を提供します。 これらのデバイスを使用すると、組織は、高い運用効率を維持しながら、暗号化システムとプラクティスに対して広く確立された新しい標準を満たす高保証セキュリティソリューションを展開できます。
関連資料
パンフレット: Entrust nShield HSMファミリーのパンフレット
Entrust nShield HSMは、安全な暗号化処理、鍵の生成および保護などのために、強化された耐タンパ性環境を提供します。FIPS 140-2認定取得済みEntrust nShield HSMは3つの形状があり、さまざまな実装シナリオをサポートします。