Prospettiva FSI: sicurezza, privacy e conformità

Last reviewed 2025-07-28 UTC

Questo documento della Google Cloud Well-Architected Framework: prospettiva FSI fornisce una panoramica dei principi e dei consigli per soddisfare i requisiti di sicurezza, privacy e conformità dei carichi di lavoro del settore dei servizi finanziari (FSI) in Google Cloud. I consigli ti aiutano a creare un'infrastruttura resiliente e conforme, a proteggere i dati sensibili, a mantenere la fiducia dei clienti, a orientarti nel complesso panorama dei requisiti normativi e a gestire in modo efficace le minacce informatiche. I suggerimenti contenuti in questo documento sono in linea con il pilastro della sicurezza del framework Well-Architected.

La sicurezza nel cloud computing è un problema fondamentale per le organizzazioni FSI, che sono molto attraenti per i criminali informatici a causa delle grandi quantità di dati sensibili che gestiscono, tra cui i dettagli dei clienti e i registri finanziari. Le conseguenze di una violazione della sicurezza sono eccezionalmente gravi, tra cui perdite finanziarie significative, danni alla reputazione a lungo termine e sanzioni amministrative significative. Pertanto, i carichi di lavoro FSI richiedono controlli di sicurezza rigorosi.

Per garantire una sicurezza e una conformità complete, devi comprendere le responsabilità condivise tra te (organizzazioni FSI) e Google Cloud. Google Cloud è responsabile della protezione dell'infrastruttura sottostante, inclusi la sicurezza fisica e la sicurezza di rete. Sei responsabile della protezione dei dati e delle applicazioni, della configurazione controllo dell'accesso#39;accesso e della configurazione e gestione dei servizi di sicurezza. Per supportarti nei tuoi sforzi per la sicurezza, l'ecosistema di partnerGoogle Cloud offre servizi gestiti e di integrazione della sicurezza.

I suggerimenti per la sicurezza contenuti in questo documento sono mappati ai seguenti principi fondamentali:

Implementare la sicurezza by design

I regolamenti finanziari come il Payment Card Industry Data Security Standard (PCI DSS), il Gramm-Leach-Bliley Act (GLBA) negli Stati Uniti e varie leggi nazionali sulla protezione dei dati finanziari impongono l'integrazione della sicurezza nei sistemi fin dall'inizio. Il principio della sicurezza by design enfatizza l'integrazione della sicurezza durante il ciclo di vita dello sviluppo per contribuire a garantire che le vulnerabilità siano ridotte al minimo fin dall'inizio.

Per applicare il principio di sicurezza by design ai tuoi workload FSI in Google Cloud, prendi in considerazione i seguenti suggerimenti:

  • Assicurati che vengano concesse solo le autorizzazioni necessarie applicando il principio del privilegio minimo tramite controllo dell'accesso basato sui ruoli (RBAC) granulare in Identity and Access Management (IAM). L'utilizzo di RBAC è un requisito fondamentale in molti regolamenti finanziari.
  • Applica perimetri di sicurezza attorno ai tuoi servizi e dati sensibili all'interno di Google Cloud utilizzando i controlli di servizio VPC. I perimetri di sicurezza contribuiscono a segmentare e proteggere dati e risorse sensibili e a prevenire l'esfiltrazione di dati e l'accesso non autorizzato, come richiesto dai regolamenti.
  • Definisci le configurazioni di sicurezza come codice utilizzando strumenti Infrastructure as Code (IaC) come Terraform. Questo approccio incorpora i controlli di sicurezza dalla fase di implementazione iniziale, il che contribuisce a garantire coerenza e controllabilità.
  • Esegui la scansione del codice dell'applicazione integrando Static Application Security Testing (SAST) nella pipeline CI/CD con Cloud Build. Stabilisci gate di sicurezza automatizzati per impedire il deployment di codice non conforme.
  • Fornisci un'interfaccia unificata per gli approfondimenti sulla sicurezza utilizzando Security Command Center. L'utilizzo di Security Command Center consente il monitoraggio continuo e il rilevamento precoce di errori di configurazione o minacce che potrebbero portare a violazioni normative. Per soddisfare i requisiti di standard come ISO 27001 e NIST 800-53, puoi utilizzare i modelli di gestione della postura.
  • Monitora la riduzione delle vulnerabilità identificate nelle implementazioni di produzione e la percentuale di implementazioni IaC che rispettano le best practice di sicurezza. Puoi rilevare e visualizzare le vulnerabilità e le informazioni sulla conformità agli standard di sicurezza utilizzando Security Command Center. Per ulteriori informazioni, consulta Risultati delle vulnerabilità.

Implementa Zero Trust

I moderni regolamenti finanziari sottolineano sempre più la necessità di controlli dell'accesso rigorosi e di una verifica continua. Questi requisiti riflettono il principio di zero trust, che mira a proteggere i carichi di lavoro da minacce e malintenzionati interni ed esterni. Il principio Zero Trust prevede la verifica continua di ogni utente e dispositivo, il che elimina la fiducia implicita e mitiga lo spostamento laterale.

Per implementare Zero Trust, tieni presenti i seguenti consigli:

  • Attiva l'accesso sensibile al contesto in base a identità dell'utente, sicurezza del dispositivo, posizione e altri fattori combinando i controlli di IAM con Chrome Enterprise Premium. Questo approccio garantisce una verifica continua prima di concedere l'accesso ai dati e ai sistemi finanziari.
  • Fornisci una gestione delle identità e degli accessi sicura e scalabile configurando Identity Platform (o il tuo provider di identità esterno se utilizzi la federazione delle identità per la forza lavoro). Configura l'autenticazione a più fattori (MFA) e altri controlli fondamentali per implementare Zero Trust e contribuire a garantire la conformità normativa.
  • Implementa l'autenticazione a più fattori per tutti gli account utente, in particolare per quelli con accesso a dati o sistemi sensibili.
  • Supporta audit e indagini relativi alla conformità normativa stabilendo un logging e un monitoraggio completi dell'accesso degli utenti e dell'attività di rete.
  • Consente la comunicazione privata e sicura tra i servizi all'interno di Google Cloud e negli ambienti on-premise senza esporre il traffico a internet pubblico utilizzando Private Service Connect.
  • Implementa controlli granulari dell'identità e autorizza l'accesso a livello di applicazione utilizzando Identity-Aware Proxy (IAP) anziché affidarti a meccanismi di sicurezza basati sulla rete come i tunnel VPN. Questo approccio contribuisce a ridurre il movimento laterale all'interno dell'ambiente.

Implementare la sicurezza shift left

Gli enti di regolamentazione finanziaria incoraggiano misure di sicurezza proattive. L'identificazione e la risoluzione delle vulnerabilità nella fase iniziale del ciclo di vita dello sviluppo contribuiscono a ridurre il rischio di incidenti di sicurezza e la possibilità di sanzioni per mancata conformità. Il principio della sicurezza shift-left promuove l'integrazione e i test di sicurezza precoci, il che contribuisce a ridurre i costi e la complessità della correzione.

Per implementare la sicurezza shift-left, tieni presenti i seguenti consigli:

  • Garantisci controlli di sicurezza automatizzati nelle prime fasi del processo di sviluppo integrando strumenti di scansione della sicurezza, come la scansione delle vulnerabilità dei container e l'analisi statica del codice, nella pipeline CI/CD con Cloud Build.

  • Assicurati che vengano implementati solo artefatti sicuri utilizzando Artifact Registry per fornire un repository sicuro e centralizzato per i pacchetti software e le immagini container con analisi delle vulnerabilità integrata. Utilizza i repository virtuali per mitigare gli attacchi di confusione delle dipendenze dando la priorità agli artefatti privati rispetto ai repository remoti.

  • Esegui automaticamente la scansione delle applicazioni web per rilevare le vulnerabilità comuni integrando Web Security Scanner, che fa parte di Security Command Center, nelle tue pipeline di sviluppo.

  • Implementa controlli di sicurezza per il codice sorgente, processo di compilazione e la provenienza del codice utilizzando il framework Supply-chain Levels for Software Artifacts (SLSA). Applica la provenienza dei workload eseguiti nei tuoi ambienti utilizzando soluzioni come Autorizzazione binaria. Assicurati che i tuoi carichi di lavoro utilizzino solo librerie software open source verificate utilizzando Assured Open Source.

  • Monitora il numero di vulnerabilità identificate e corrette nel ciclo di vita di sviluppo, la percentuale di deployment di codice che supera le scansioni di sicurezza e la riduzione degli incidenti di sicurezza causati da vulnerabilità del software. Google Cloud fornisce strumenti per facilitare questo monitoraggio per diversi tipi di carichi di lavoro. Ad esempio, per i carichi di lavoro containerizzati, utilizza la funzionalità di scansione dei container di Artifact Registry.

Implementare una difesa informatica preventiva

Gli istituti finanziari sono i principali bersagli di attacchi informatici sofisticati. I regolamenti spesso richiedono una threat intelligence solida e meccanismi di difesa proattivi. La difesa informatica preventiva si concentra sul rilevamento e sulla risposta proattivi alle minacce utilizzando analisi e automazione avanzate.

Prendi in considerazione i seguenti consigli:

  • Identifica e mitiga in modo proattivo le potenziali minacce utilizzando i servizi di threat intelligence, incident response e convalida della sicurezza di Mandiant.
  • Proteggi le applicazioni web e le API da exploit web e attacchi DDoS all'edge della rete utilizzando Google Cloud Armor.
  • Aggrega e assegna la priorità ai risultati e ai consigli per la sicurezza utilizzando Security Command Center, che consente ai team di sicurezza di affrontare in modo proattivo i potenziali rischi.
  • Convalida le difese preventive e i piani di risposta agli incidenti conducendo simulazioni di sicurezza e penetration test regolari.
  • Misura il tempo necessario per rilevare e rispondere agli incidenti di sicurezza, l'efficacia degli sforzi di mitigazione degli attacchi DDoS e il numero di attacchi informatici prevenuti. Puoi ottenere le metriche e i dati richiesti dalle dashboard SOAR e SIEM di Google Security Operations.

Utilizzare l'AI in modo sicuro e responsabile e utilizzare l'AI per la sicurezza

L'AI e l'ML vengono sempre più utilizzati per casi d'uso di servizi finanziari come il rilevamento di frodi e il trading algoritmico. I regolamenti richiedono che queste tecnologie vengano utilizzate in modo etico, trasparente e sicuro. L'AI può anche contribuire a migliorare le tue funzionalità di sicurezza. Prendi in considerazione i seguenti consigli per l'utilizzo dell'AI:

  • Sviluppa ed esegui il deployment di modelli ML in un ambiente sicuro e controllato utilizzando Vertex AI. Funzionalità come la spiegabilità del modello e le metriche di equità possono contribuire a risolvere i problemi relativi all'AI responsabile.
  • Sfrutta le funzionalità di analisi e operazioni di sicurezza di Google Security Operations, che utilizza l'AI e il machine learning per analizzare grandi volumi di dati di sicurezza, rilevare anomalie e automatizzare la risposta alle minacce. Queste funzionalità contribuiscono a migliorare la tua postura di sicurezza complessiva e aiutano nel monitoraggio della conformità.
  • Stabilisci norme di governance chiare per lo sviluppo e l'implementazione di AI e ML, incluse considerazioni relative alla sicurezza e all'etica.
  • Allineati agli elementi del Secure AI Framework (SAIF), che fornisce un approccio pratico per affrontare i problemi di sicurezza e rischio dei sistemi di AI.
  • Monitora l'accuratezza e l'efficacia dei sistemi di rilevamento delle frodi basati sull'AI, la riduzione dei falsi positivi negli avvisi di sicurezza e i miglioramenti dell'efficienza derivanti dall'automazione della sicurezza basata sull'AI.

Soddisfa le esigenze normative, di conformità e di privacy

I servizi finanziari sono soggetti a una vasta gamma di normative, tra cui requisiti di residenza dei dati, audit trail specifici e standard di protezione dei dati. Per garantire che i dati sensibili vengano identificati, protetti e gestiti correttamente, le organizzazioni FSI hanno bisogno di solide policy di governance dei dati e schemi di classificazione dei dati. Prendi in considerazione i seguenti consigli per soddisfare i requisiti normativi:

  • Configura i confini dei dati in Google Cloud per i carichi di lavoro sensibili e regolamentati utilizzando Assured Workloads. In questo modo, puoi soddisfare i requisiti di conformità specifici per il governo e il settore, come FedRAMP e CJIS.
  • Identifica, classifica e proteggi i dati sensibili, incluse le informazioni finanziarie, implementando Cloud Data Loss Prevention (Cloud DLP). In questo modo, rispetti le normative sulla privacy dei dati come il GDPR e il CCPA.
  • Monitora i dettagli delle attività amministrative e l'accesso alle risorse utilizzando Cloud Audit Logs. Questi log sono fondamentali per soddisfare i requisiti di audit previsti da molti regolamenti finanziari.
  • Quando scegli le regioni Google Cloud per i tuoi carichi di lavoro e i tuoi dati, tieni conto delle normative locali relative alla residenza dei dati. Google Cloud L'infrastruttura globale ti consente di scegliere regioni che possono aiutarti a soddisfare i tuoi requisiti di residenza dei dati.
  • Gestisci le chiavi utilizzate per criptare i dati finanziari sensibili at-rest e in transito utilizzando Cloud Key Management Service. Questa crittografia è un requisito fondamentale di molte normative sulla sicurezza e sulla privacy.
  • Implementa i controlli necessari per soddisfare i requisiti normativi. Verifica che i controlli funzionino come previsto. Fai convalidare nuovamente i controlli da un revisore esterno per dimostrare all'ente regolatore che i tuoi carichi di lavoro sono conformi alle normative.

Dare la priorità alle iniziative di sicurezza

Data l'ampiezza dei requisiti di sicurezza, gli istituti finanziari devono dare la priorità alle iniziative basate sulla valutazione dei rischi e sui mandati normativi. Ti consigliamo il seguente approccio graduale:

  1. Crea una base di sicurezza solida: concentrati sulle aree principali della sicurezza, tra cui gestione di identità e accessi, sicurezza di rete e protezione dei dati. Questo focus contribuisce a creare una solida strategia di sicurezza e a garantire una difesa completa contro le minacce in evoluzione.
  2. Rispetta le normative fondamentali: dai la priorità alla conformità alle normative chiave come PCI DSS, GDPR e leggi nazionali pertinenti. In questo modo, puoi garantire la protezione dei dati, ridurre i rischi legali e creare fiducia con i clienti.
  3. Implementa la sicurezza avanzata: adotta gradualmente pratiche di sicurezza avanzate come Zero Trust, soluzioni di sicurezza basate sull'AI e ricerca proattiva delle minacce.
Indietro
Eccellenza operativa
Avanti
Affidabilità