Nueva Delhi:
La Junta de Bolsa y Valores del Regulador de Mercados de Capital de la India (Sebi) ha propuesto un marco en la nube para sus entidades reguladas, destacando los riesgos y controles clave que dichas entidades deben considerar antes de adoptar soluciones en la nube.
El marco propuesto describe las expectativas regulatorias y legales de las Entidades Reguladas (ER) de Sebi si fabrican soluciones de computación en la nube.
“Recientemente, la dependencia de las soluciones en la nube para la prestación de servicios de tecnología de la información (TI) ha ido en aumento.
“Si bien las soluciones en la nube ofrecen muchos beneficios (preparación para escalar, facilidad de implementación, sin gastos generales para mantener la infraestructura física, entre otros), RE también debe ser consciente de los nuevos riesgos y desafíos de seguridad cibernética que traen las soluciones en la nube”, dijo el regulador. en su documento de consulta.
En consecuencia, se ha desarrollado un marco en la nube para mitigar los riesgos de manera efectiva y garantizar el cumplimiento de los requisitos legales y reglamentarios. La Junta de Bolsa y Valores de India (Sebi) solicitó comentarios sobre esta propuesta antes del 14 de noviembre.
Sebi dijo que no hay restricciones en la propuesta sobre el uso de cualquier modelo de implementación en la nube. RE puede adoptar la computación en la nube según su evaluación de riesgos comerciales y tecnológicos.
Si bien los servicios de TI pueden subcontratarse a una solución en la nube, RE será el único responsable de todos los aspectos relacionados con los servicios en la nube, incluida la privacidad, la seguridad de sus datos y registros, y el cumplimiento de las políticas.
En consecuencia, RE será responsable por cualquier incumplimiento del mismo, señala el documento de consulta.
“Los servicios en la nube solo deben tomarse de los centros de datos del proveedor de servicios en la nube (CSP) integrados por MeitY (Ministerio de Electrónica y Tecnología de la Información)”, dijo Seby.
Debe haber una delimitación de responsabilidad para todas las actividades (técnicas, gerenciales, relacionadas con la gestión) servicios en la nube entre RE y CSP. El mismo debe ser parte del acuerdo entre RE y CSP.
Como parte de la auditoría del sistema realizada por el RE, el auditor debe verificar si existe una clara delimitación de roles y responsabilidades para cada función entre el RE y el CSP.
“Los datos deben cifrarse en cualquier etapa del ciclo de vida, fuente o ubicación para garantizar la confidencialidad, la confidencialidad y la integridad. RE conserva la propiedad total de sus datos y datos relacionados, claves de cifrado, registros, etc. que residen en la nube”, agregó.
El marco de nube propuesto ofrece nueve principios de alto nivel: Gobernanza, Riesgo y Cumplimiento (GRC); localización de datos; propiedad de los datos y transparencia del proceso; acceso, evaluación de riesgos y due diligence de CSP; control de seguridad; obligaciones legales y reglamentarias; planificación de la continuidad del negocio (BCP), recuperación ante desastres y resiliencia cibernética; y vinculante para el proveedor.
El documento de consulta se basa en un estudio, una encuesta y una consulta extensos y exhaustivos con participantes del mercado, corredores, reguladores, asociaciones de nube, proveedores de servicios de nube, agencias gubernamentales y el Comité Directivo de Sebi. PTI ESP ANU
(Excepto por el título, esta historia no ha sido editada por el personal de NDTV y se publica desde un canal sindicado).
Vídeo destacado del día.
Lo que dijo Google después de enfrentar una multa de 936 millones de rupias en India