《纽约州金融服务局》 23 NYCRR 500

promo nydfs header
12月 2022
博客首页

纽约州金融服务管理局规定 23 NYCRR 500 中的网络安全要求

金融服务公司网络安全要求

借力金士顿保持合规性

管理威胁并降低风险

Encrypted lineup

可用选项满足从个人、企业到政府的各种需求。

  • 100% 合规的加密 USB 数据存储
  • 简单、易于使用、无需软件或驱动程序
  • 旨在实现快速、高效的部署
Compliance logos

NYDFS - 23 NYCRR 500:需要了解的五个主要领域:

确保您合规的四个主要领域:

  1. 加密传输中和静态的敏感数据。(第 500.15 节 非公开信息加密。)
  2. 任命首席信息安全官 (CISO)
  3. 制定网络安全计划
  4. 采用网络安全策略
  5. 管理第三方服务提供商
    • 包含要求的:
      • 一年一次的渗透测试
      • 一年两次的漏洞评估assessments
New York State Seal

不合规是否会导致任何处罚?

根据新的 DFS 方案,公司高管必须证明对 NY DFS 法规的遵从, 每年一次。

  • 如果这些证明被证实是错误的,它们可以为 DFS 或消费者对银行、保险公司和其他金融服务公司违反此类证明要求的行为提出索赔提供基础。提案指出,提案要求将“在任何适用法律”下得到执行,这包括法律:
    • 例如,《纽约州银行法》、《纽约州保险法》
    • 这包括针对故意向 DFS 做出错误陈述的个人民事和刑事惩罚
Are there any penalties for non-compliance?

我需要了解什么?

要点

  • 源自于 NIST 标准
  • 全面的提案将让银行、保险公司和其他金融服务公司对保护传输中数据和静态数据完全负责
  • 提案要求组织为传输中数据和静态数据加密
  • 影响华尔街和总资产超过 2.9 万亿美元的约 1,900 家公司
  • 对泄漏负责人员进行监管,他们必须拥有意识和行动方案;将其提升到董事会级别
  • 公司必须定义条件、部署事件响应策略,并利用与金融机构开展业务的最低标准更新供应商管理

数据加密

  • 金士顿和 IronKey 加密 USB 闪存盘是实现数据加密合规的标准化解决方案之一。
  • 提案要求组织为传输中数据和静态数据加密。(第 500.15 节 非公开信息加密。)
    • 第 500.15 节 非公开信息加密。
      • (a) 作为其网络安全计划的一部分,根据其风险评估,每个适用实体应实施加密等控制举措,以保护由适用实体持有或传输的非公开信息,包括在外部网络中传输的信息及静态的信息。
  • 要求处理或保留个人身份识别信息的组织实施合适的安全举措,以防止个人数据丢失。
  • 组织将被要求在他们与第三方服务提供商签订的合同中包含这些增强的数据加密标准。(第 500.11 节 第三方服务提供商安全策略。)
    • 拥有大量服务提供商的组织,因为他们必须采取举措来确保每个服务提供商都遵从加密要求。
      • 第 500.11 节 第三方服务提供商安全策略。
        • (2) 本部分第 500.15 节要求的第三方服务提供商加密使用策略和程序,保护传输中和静态的非公开信息;

这将如何影响我的企业?

  • 纽约市银行业、保险业和其他金融服务业企业;或者,如果您向这些行业公司提供服务或作为供应商与之签订合同,您也将需要遵守这些法规并受到约束。
  • 您还将需要部署合适的信息安全性和数据存储加密系统,以遵从这些法规和规定。
  • 要求处理或保留个人身份识别信息的组织实施合适的安全举措,以防止个人数据丢失。

我的企业如何做到合规?

  • 映射存储数据的内部和外部产品/设备
    记录使用的公司设备并将其纳入您的数据安全策略管辖范围,同时确保数据加密得到利用。物品包括但不限于:服务器、传统硬盘、固态硬盘、USB 闪存盘、计算机和移动设备。
  • 库存分析
    评估全部个人数据数量。
  • 清除
    删除多余个人身份识别信息 (PII) 的归档。
  • 信息控制者
    审核隐私风险和影响评估。
  • 合同
    现在制定将在 2018 年 2 月生效开始日期后强制执行的政策,让您的企业为未来做好准备
  • 数据泄漏
    法规要求在 72 小时内发出通知。

解决方案 - 实施合适的防范措施、技术标准和策略,例如,可缓解不合规风险的个人数据/个人身份识别信息 (PII) 数据加密。 了解更多信息

泄漏通知

在可行的情况下,必须在获知泄漏的 72 小时内完成数据泄漏通知,尽管在泄漏不大可能对个人权利或自由造成风险的情况下,无需通知 DPA。

消费者权利

个人身份识别信息 (PII) 是什么?

美国隐私法律和信息安全所使用的个人身份识别信息 (PII) 或敏感个人信息 (SPI) 是指,可用于单独或与其他信息一起识别、联系或定位个人或在语境中确定个人的信息。

  • NIST Special Publication 800-122[4] 将 PII 定义为“ (1) 可用于区分或追踪个人身份的任何信息,例如姓名、社会保障号、出生日期和地点、母亲娘家或生物特征记录;以及 (2) 与个人关联或可关联的任何其他信息,例如医疗、教育、财务和就业信息。”(如需更多信息,请访问: (For more information: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
消费者权利

网络安全策略

(来自“金融服务公司网络安全要求”文档:https://www.governor.ny.gov/sites/default/files/atoms/files/Cybersecurity_Requirements_Financial_Services_23NYCRR500.pdf

每个适用实体应实施并维护书面策略,并获得高级官员或适用实体董事会(或其合适委员会)或相等管理部门的批准,制定适用实体的策略和程序,以保护它们的信息系统和在这些信息系统中存储的非公开数据。

CyberSecurity

(a) 信息安全
(b) 数据治理与分类
(c) 资产库存与设备管理
(d) 访问控制与身份管理
(e) 业务连续性与灾难恢复规划与资源
(f) 系统运行与可用性问题
(g) 系统与网络安全性
(h) 系统与网络监控
(i) 系统与应用程序开发及质量保证
(j) 物理安全性与环境控制
(k) 客户数据隐私
(l) 供应商与第三方服务提供商管理
(m) 风险评估
(n) 事件响应

《纽约州网络安全条例》 (23 NYCRR Part 500) 关键数据

  • 2017 年 3 月 1 日 - 23 NYCRR Part 500 生效。
  • 2017 年 8 月 28 日 - 180 天过渡期结束。除非另有规定,否则适用实体被要求遵从 23 NYCRR Part 500 规定。
  • 2018 年 2 月 15 日 - 适用实体被要求在此日期或之前按照 23 NYCRR 500.17(b) 要求提供首份证明。
  • 2018 年 3 月 1 日 - 一年过渡期结束。适用实体被要求遵从 23 NYCRR Part 500 中 500.04(b) 节、500.05 节、500.09 节、500.12 节 和 500.14(b) 的规定。
  • 2018 年 9 月 3 日 - 18 个月过渡期结束。适用实体被要求遵从 23 NYCRR Part 500 中 500.06 节、500.08 节、500.13 节、500.14(a) 节和 500.15 节的规定。
  • 2019 年 3 月 1 日 - 两年过渡期结束。适用实体被要求遵从 23 NYCRR 500.11 的规定。

更多信息

详细了解 加密 USB 闪存盘 - 金士顿科技公司
详细了解 加密 USB 闪存盘 - 金士顿科技公司