O Padrão
Domínios de Controle
O OFDSS abrange 79 requisitos individuais de segurança distribuídos em 13 domínios de controle, cada um abordando uma área crítica de segurança de dados para serviços financeiros nativos em nuvem.
1. Alocação de Recursos
Garante que recursos adequados — pessoal, orçamento e ferramentas — sejam alocados para a segurança da informação. Este domínio estabelece a base para um programa de segurança robusto, exigindo comprometimento organizacional.
2. Gestão de Ativos
Abrange a identificação, classificação e gestão de ativos de informação. As empresas devem manter um inventário de ativos e compreender a sensibilidade dos dados que manuseiam.
3. Controles de Acesso
Trata de autenticação, autorização e gestão de acesso. Isso inclui provisionamento de usuários, autenticação multifator, controle de acesso baseado em funções e o princípio do menor privilégio.
4. Controles de Mudança
Estabelece requisitos para gerenciar mudanças em sistemas e aplicações. Este domínio garante que as mudanças sejam revisadas, testadas e aprovadas antes da implantação em produção.
5. Ciclo de Vida de Desenvolvimento de Software (SDLC)
Abrange práticas de desenvolvimento seguro de software, incluindo revisão de código, testes de segurança e gestão de vulnerabilidades ao longo do processo de desenvolvimento.
6. Criptografia
Trata do uso de criptografia para proteger dados em repouso e em trânsito. Isso inclui práticas de gestão de chaves, padrões de criptografia e gestão de certificados.
7. Minimização de Dados
Garante que as empresas coletem, processem e retenham apenas a quantidade mínima de dados necessária. Este domínio está alinhado com princípios de privacidade e requisitos regulatórios.
8. Auditoria e Alertas
Abrange capacidades de registro, monitoramento e alertas. As empresas devem manter logs de auditoria, monitorar eventos de segurança e possuir mecanismos de alerta para atividades suspeitas.
9. Gestão de Incidentes
Estabelece requisitos para detectar, responder e recuperar-se de incidentes de segurança. Isso inclui planos de resposta a incidentes, procedimentos de comunicação e revisão pós-incidente.
10. Segurança de Rede
Trata de arquitetura, segmentação e proteção de rede. Isso inclui gestão de firewall, monitoramento de rede e princípios de design de rede segura.
11. Conscientização e Treinamento
Abrange programas de conscientização e treinamento em segurança para colaboradores. As empresas devem garantir que os funcionários compreendam suas responsabilidades de segurança e sejam treinados sobre ameaças atuais.
12. Gestão de Fornecedores
Trata dos requisitos de segurança para fornecedores e prestadores de serviços terceiros. As empresas devem avaliar as práticas de segurança dos fornecedores e gerenciar o risco de terceiros.
13. Testes Independentes
Exige testes de segurança independentes regulares, incluindo testes de penetração e avaliações de vulnerabilidade. Este domínio garante que os controles de segurança sejam validados por terceiros qualificados.
Resumo
| # | Domínio | Área de Foco |
|---|---|---|
| 1 | Alocação de Recursos | Comprometimento organizacional |
| 2 | Gestão de Ativos | Classificação e inventário de dados |
| 3 | Controles de Acesso | Autenticação e autorização |
| 4 | Controles de Mudança | Processos de gestão de mudanças |
| 5 | SDLC | Práticas de desenvolvimento seguro |
| 6 | Criptografia | Criptografia e gestão de chaves |
| 7 | Minimização de Dados | Privacidade e tratamento de dados |
| 8 | Auditoria e Alertas | Monitoramento e registro |
| 9 | Gestão de Incidentes | Resposta e recuperação |
| 10 | Segurança de Rede | Arquitetura e segmentação |
| 11 | Conscientização e Treinamento | Educação dos colaboradores |
| 12 | Gestão de Fornecedores | Risco de terceiros |
| 13 | Testes Independentes | Validação externa |