DEPARTAMENTO DE SERVIÇOS FINANCEIROS DO ESTADO DE NOVA YORK 23 NYCRR 500

promo nydfs header
dez 2022
Blog Home

Requisitos de segurança cibernética do New York State Department Of Financial Services 23 NYCRR 500

REQUISITOS DE SEGURANÇA CIBERNÉTICA PARA EMPRESAS DE SERVIÇOS FINANCEIROS

Mantenha a conformidade com a Kingston

Gerencie ameaças e reduza riscos

Encrypted lineup

As opções disponíveis cobrem todas as necessidades, desde pessoais, corporativas até governamentais.

  • 100% em conformidade no armazenamento em pendrive criptografado
  • Simples, fácil de usar, não necessita de software ou drivers
  • Projetado para implantação rápida e eficiente
Compliance logos

NYDFS - 23 NYCRR 500: As 5 principais áreas para se ter cuidado:

5 principais áreas para garantir sua conformidade:

  1. Criptografar dados confidenciais em trânsito e estáticos. (Seção 500.15 Criptografia de Informações Não Públicas.)
  2. Indicar um Diretor de Segurança de Informações (CISO)
  3. Estabelecer um Programa de Segurança Cibernética
  4. Adotar uma Política de Segurança Cibernética
  5. Administrar prestadores de serviços terceirizados
    • Inclui os obrigatórios:
      • Testes de penetração anuais
      • Avaliações de vulnerabilidade bianuais
New York State Seal

Existe alguma penalidade pela não conformidade?

Sob o novo esquema DFS, os executivos das empresas devem confirmar a conformidade com os regulamentos NY DFS anualmente.

  • Se estes certificados demonstrarem estar incorretos, eles podem fornecer as bases para que o DFS ou os consumidores apresentem ações contra bancos, seguradoras e outras firmas de serviços financeiros por violação desses certificados. A proposta observa que seus requisitos deverão ser cumpridos "sob quaisquer leis aplicáveis", o que inclui,
    • por exemplo, a lei de Serviços Bancários de Nova York e a Lei de Seguros de Nova York
    • Elas contêm penalidades individuais civis e criminais por fazer declarações falsas intencionalmente ao DFS
Existe alguma penalidade pela não conformidade?

O que eu preciso saber?

Destaques

  • Derivados dos padrões NIST
  • Proposta abrangente com bancos detentores, seguradoras e outras firmas de serviços financeiros estritamente responsáveis por proteger dados em trânsito e estáticos
  • As propostas para as organizações criptografarem dados confidenciais em trânsito e estáticas.
  • Fundos de Wall Street e cerca de 1.900 empresas com $2,9 trilhões (USD) em ativos
  • Regula quem é responsável pela violação, conscientização obrigatória e plano de ação; chegar até a diretoria
  • As empresas precisam definir critérios, possuir uma política de resposta a incidentes e atualizar a gestão de fornecedores com padrões mínimos para fazer negócios com as instituições financeiras

Criptografia de dados

  • Um pendrive criptografado Ironkey e Kingston é uma das soluções para atender os padrões de conformidade com a criptografia de dados
  • A proposta solicita que as organizações criptografem dados confidenciais em trânsito e estáticos. (Seção 500.15 Criptografia de Informações Não Públicas.)
    • Seção 500.15 Criptografia de Informações Não Públicas.
      • (a) Como parte de seu programa de segurança cibernética, com base em sua avaliação de risco, cada entidade envolvida deve implementar controles, incluindo a criptografia, para proteger informações não públicas mantidas ou transmitidas pela Entidade envolvida, tanto em trânsito quanto em redes externas estáticas.
  • Requer que as organizações que processam ou mantém informações pessoalmente identificáveis implementem medidas de segurança adequadas para proteção contra a perda de dados pessoais.
  • As organizações serão solicitadas a incluir esses padrões aperfeiçoados de processamento de dados em seus contratos com prestadores de serviço terceirizados. (Seção 500.11 Política de Segurança de Prestadores de Serviço Terceirizados).
    • Organizações com grande número de prestadores de serviços devem tomar providências para confirmar a adesão de cada prestador de serviços à exigência de criptografia.
      • Seção 500.11 Política de Segurança de Prestadores de Serviço Terceirizados.
        • (2) as políticas e procedimentos do Prestador de serviços terceirizado para uso de criptografia conforme exigido na seção 500.15 desta Parte para proteger informações não públicas em trânsito e estáticas;

Como isso afeta minha empresa?

  • As empresas do setor bancário, de seguros e de outros serviços financeiros dentro da Cidade de Nova York ou se você fornecer um serviço ou tiver um contrato como fornecedor a firmas desse setor, você também precisará seguir e cumprir essas regras.
  • Você também precisará estar em conformidade com os regulamentos e regras sobre ter os sistemas certos em vigor para a segurança e a criptografia de informações no armazenamento de dados.
  • Requer que as organizações que processam ou mantém informações pessoalmente identificáveis implementem medidas de segurança adequadas para proteção contra a perda de dados pessoais.

O que minha empresa deve fazer para ficar em conformidade?

  • Mapear produtos / dispositivos internos e externos que armazenam dados
    Registrar e exigir que seja usado equipamento da empresa, para estar coberto por sua política de segurança de dados e assegurar que seja utilizada a criptografia de dados. Itens podem incluir, mas não se limitam a: servidores, discos rígidos, SSDs, pendrives, computadores e dispositivos móveis.
  • Análise do inventário
    Avalie o montante de dados pessoais em sua totalidade.
  • Limpeza
    Elimine arquivos de informações pessoalmente identificáveis (PII) desnecessários.
  • Controladores de informações
    Reveja o risco à privacidade e as avaliações de impacto.
  • Contratos
    Proteja o futuro de sua empresa estabelecendo políticas agora que se tornem obrigatórias após seu início efetivo em fevereiro de 2018 8
  • Violações de dados
    Os regulamentos requerem aviso em 72 horas.

Solução -Implementar proteções, padrões técnicos e políticas apropriadas como criptografia de dados pessoais / informações pessoalmente identificáveis (PII) para minimizar o risco de não conformidade.Saiba mais

Notificação de violação

Notificações de violações de dados devem ser executadas até 72 horas depois do conhecimento da violação, onde possível, embora a notificação não precise ser feita para o DPA se for improvável que resulte em risco para os direitos ou liberdades dos indivíduos.

Direitos do consumidor

O que são Informações Pessoalmente Identificáveis (PII)?

Informações pessoalmente identificáveis (PII) ou Informações Pessoais Reservadas (SPI), como usadas nas leis de privacidade e segurança das informações dos EUA, são informações que podem ser usadas sozinhas ou conjugadas a outras informações para identificar, contatar ou localizar uma pessoa ou para identificar um indivíduo em um contexto.

  • A publicação especial do NIST (NIST Special Publication) 800-122[4] define PII como “qualquer informação sobre um indivíduo mantida por um órgão, incluindo, (1) qualquer informação que possa ser usada para distinguir ou rastrear a identidade de um indivíduo, como um nome, número de seguro social, data e local de nascimento, nome de solteira da mãe ou registros biométricos e (2) qualquer outra informação que seja ou possa ser relacionada a um indivíduo, como informações médicas, educacionais, financeiras e empregatícias." (Para mais informações: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
Direitos do consumidor

Política de segurança cibernética

(Do documento “Exigências de segurança cibernética para empresas de serviços financeiros": https://www.governor.ny.gov/sites/default/files/atoms/files/Cybersecurity_Requirements_Financial_Services_23NYCRR500.pdf )

Todas as Entidades envolvidas devem implementar e manter política ou políticas por escrito, aprovadas por um Diretor Sênior ou pelo Conselho Diretor da Entidade envolvida (ou um comitê apropriado indicado por ele) ou corpo diretivo equivalente, estabelecendo as políticas e procedimentos da Entidade envolvida para a proteção dos Sistemas de informação e informações não públicas armazenadas nestes sistemas de informação.

CyberSecurity

(a) segurança das informações
(b) governança e classificação de dados
(c) inventário dos ativos e gerenciamento dos dispositivos
(d) controles de acesso e gerenciamento de identidades
(e) planejamento e recursos para a continuidade dos negócios e recuperação de desastres
(f) preocupação com as operações e disponibilidade dos sistemas
(g) segurança dos sistemas e da rede
(h) monitoramento dos sistemas e da rede
(i) desenvolvimento e garantia de qualidade de sistemas e aplicativos
(j) segurança física e controles ambientais
(k) privacidade de dados do cliente
(l) gerenciamento de fornecedores e prestadores de serviços terceirizados
(m) avaliação de riscos
(n) resposta a incidentes

Datas chave sob a regulamentação de segurança cibernética de Nova York (NYCRR 23 Parte 500)

  • 1º de março de 2017 - 23 NYCRR Parte 500 entra em vigor
  • 28 de agosto de 2017 - fim do período de transição de 180 dias As entidades envolvidas são obrigadas a estar em conformidade com as exigências da 23 NYCRR Parte 500 salvo especificado de outra forma.
  • 15 de fevereiro de 2018 - As entidades envolvidas são obrigadas a apresentar o primeiro certificado sob a 23 NYCRR 500.17(b) em ou antes desta data.
  • 1º de março de 2018 - Fim do período de transição de um ano. As entidades envolvidas são obrigadas a estar em conformidade com as exigências das seções 500.04(b), 500.05, 500.09, 500.12 e 500.14(b) da 23 NYCRR Parte 500.
  • 3 de setembro de 2018 - Fim do período de transição de dezoito meses. As entidades envolvidas são obrigadas a estar em conformidade com as exigências das seções 500.06, 500.08, 500.13, 500.14(a) e 500.15 da 23 NYCRR Parte 500.
  • 1º de março de 2019 - Fim do período de transição de dois anos. As entidades envolvidas são obrigadas a estar em conformidade com as exigências da 23 NYCRR Parte 500.11.

Mais informações

Saiba mais Encrypted USB Drive - Kingston Technology
Saiba mais Encrypted USB Drive - Kingston Technology