DEPARTAMENTO ESTATAL DE SERVICIOS FINANCIEROS DE NUEVA YORK 23 NYCRR 500

dic. 2022

Inicio del Blog

Requisitos de ciberseguridad del Departamento de Servicios Financieros del estado de Nueva York (NYDFS); sección 500 del título 23 de los Códigos, Reglas y Regulaciones de Nueva York (NYCRR)

REQUERIMIENTOS DE CÍBER-SEGURIDAD PARA COMPAÑÍAS DE SERVICIOS FINANCIEROS

Manténgase en cumplimiento con Kingston

Gestione amenazas y maneje riesgos

Las opciones disponibles cubren cada necesidad desde personal, a corporativa, a gubernamental.

Almacenamiento de datos en USB encriptados que cumple 100%
Simple, fácil de usar, no se necesita software o drivers
Diseñado para un despliegue rápido y eficiente

NYDFS - 23 NYCRR 500: Las 5 áreas principales para tener en cuenta:

5 áreas principales para asegurarse que usted cumple:

Encriptar datos confidenciales tanto en tránsito como en reposo. (Sección 500.15 Encriptación de información no pública).
Designar a oficiales de protección de datos (OPDs)
Establezca un programa de cíber-seguridad
Adopte una política de cíber-seguridad
Gestione proveedores de servicios de terceros
- Incluye las requeridas:
  - Pruebas de penetración anuales
  - Evaluaciones de vulnerabilidad dos veces al año

¿Hay alguna penalidad por el no cumplimiento?

Bajo el nuevo esquema del DFS, los ejecutivos de la compañía deben certificar el cumplimiento con las regulaciones DFS de Nueva York sobre una base anual.

Si estas certificaciones resultaran incorrectas, podrían proporcionar la base para que el DFS o los consumidores presenten reclamos contra bancos, aseguradores y otras firmas de servicios financieros por el incumplimiento de tal certificación. La propuesta señala que sus requerimientos se ejecutarán "en virtud de cualquier legislación aplicable", que incluye leyes:
- Por ejemplo, Ley de Bancos de Nueva York, Ley de Seguros de Nueva York
- Que contengan sanciones individuales civiles y criminales por hacer declaraciones falsas intencionalmente al DFS

¿Hay alguna penalidad por el no cumplimiento?

¿Qué necesito saber?

Aspectos destacados

Derivadas de los estándares NIST
La propuesta de barrido mantendrá a los bancos, aseguradores y otras firmas de servicios financieros como las responsables de proteger los datos en tránsito y en reposo
La propuesta exige que las organizaciones encripten datos confidenciales tanto en tránsito como en reposo
Afecta a Wall Street y a alrededor de 1.900 empresas con $ 2,9 trillones (USD) en activos
Regula quién es responsable de la violación, debe ser consiente y tener un plan de acción; lo lleva hasta la junta
Las empresas necesitan definir criterios, tener una política de respuesta a incidentes, y actualizar la gestión de proveedores con estándares mínimos para realizar negocios con las instituciones financieras

Encriptación de datos

Un dispositivo USB encriptado Kingston e Ironkey es una de las soluciones para estandarizar el cumplimiento del encriptado de datos
La propuesta exige que las organizaciones encripten datos confidenciales tanto en tránsito como en reposo. (Sección 500.15 Encriptación de información no pública).
- Sección 500.15 Encriptación de información no pública.
  - (a) Como parte de su programa de seguridad cibernética, en base a su Evaluación de riesgos, cada Entidad cubierta deberá implementar controles incluido el encriptado, para proteger la Información no pública retenida o transmitida por la Entidad cubierta, tanto en tránsito a través de redes externas, como en pausa.
Requiere que las organizaciones que procesen o mantengan información de identificación personal implementen la seguridad adecuada para proteger contra la pérdida de datos personales.
Se requerirá que las organizaciones incluyan estos estándares mejorados de encriptación de datos en sus contratos con proveedores de servicios de terceros. (Sección 500.11 Política de seguridad del proveedor de servicios de terceros).
- Las organizaciones con un gran número de proveedores de servicios, ya que deben tomar medidas para confirmar la adherencia de cada proveedor de servicios a los requisitos de encriptación.
  - Sección 500.11 Política de seguridad del proveedor de servicios de terceros. Policy.
    - (2) las políticas y procedimientos del proveedor de servicios de terceros para el uso del encriptado según lo requerido por la sección 500.15 de esta parte para proteger la Información no pública en tránsito y en pausa;

¿Cómo afecta esto a mi negocio?

Empresas dentro de la industria bancaria, de seguros y de otros servicios financieros en la ciudad de Nueva York, o si usted proporciona un servicio o está bajo contrato como proveedor de alguna de estas empresas, tendrá que seguir y estar sujeto a estas reglas también.
Usted también tendrá cumplir con la regulación y las normas, relacionadas con tener los sistemas adecuados para la seguridad y encriptación del almacenamiento de datos de la información.
Requiere que las organizaciones que procesen o mantengan información identificable personal implementen medidas de seguridad adecuadas para proteger contra la pérdida de datos personales.

¿Qué debe hacer mi negocio para cumplir?

Identifique, registre y organice todos los productos internos y externos que almacenan datos.
Registre y exija que el equipo usado por la empresa sea cubierto por su política de seguridad de datos y asegúrese de que se utilice encriptación de datos. Artículos tales como, pero no limitados a: servidores, discos duros, SSDs, dispositivos Flash USB, computadores y otros dispositivos móviles
Análisis de inventario
Evaluar la cantidad de datos personales en su totalidad.
Purgar
Eliminar archivos de información identificable personal (PII) innecesarios.
Controladores de información
Verifique los riesgos a la privacidad y las evaluaciones de impacto.
Contratos
Proteja a futuro su negocio al poner en sitio en este momento políticas que se convertirán en obligatorios después de la fecha efectiva de Febrero de 2018
Violación de datos
La regulación dicta un aviso dentro de las siguientes 72 horas.

Solución - Implemente las salva guardas, los estándares técnicos y políticas apropiadas, tales cómo, encriptación de datos para datos personales / información identificable personal (PII), para mitigar el riesgo de no cumplimiento. Aprenda más

Notificación de violaciones

Las notificaciones de violación de datos deben hacerse dentro de las 72 horas siguientes de saber de la violación, cuando sea posible, aunque la notificación no necesita ser hecha a la DPA si es poco posible que resulte en un riesgo para los derechos o las libertades de individuos.

Derechos del consumidor

¿Cuál es la información identificable personal (PII)?

La información identificable personal (PII), o información personal sensitiva (SPI), como es referida en la ley de privacidad de EE.UU. e información de seguridad, es información que puede ser usada de forma independiente o junto a otra información para identificar, contactar, o localizar a un individuo, o para identificar a un individuo en un contexto.

La Publicación Especial 800-122[4] del NIST define la PII como "toda información sobre un individuo guardada por una agencia, que incluye, (1) cualquier información que pueda usarse para distinguir o rastrear la identidad de un individuo, como nombre, número de seguro social, fecha y lugar de nacimiento, apellido de soltera de la madre o registros biométricos; y, (2) cualquier otra información que esté vinculada o sea vinculable a un individuo, como información médica, educativa, financiera y de empleo ". (Para mayor información: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )

Política de cíber-seguridad

(Obtenido del documento “Requerimientos de cíber-seguridad para compañías de servicios financieros”: https://www.governor.ny.gov/sites/default/files/atoms/files/Cybersecurity_Requirements_Financial_Services_23NYCRR500.pdf )

Cada Entidad cubierta deberá implementar y mantener una política o políticas escritas, aprobadas por un alto directivo o la junta directiva de la Entidad cubierta (o un comité apropiado de la misma) o un órgano de gobierno equivalente, estableciendo las políticas y procedimientos de la Entidad cubierta para la protección de su Sistemas de información e Información no pública almacenados en esos sistemas de información.

(a) seguridad de la Información
(b) gobernanza y clasificación de datos
(c) inventario de activos y administración de dispositivos
(d) controles de acceso y gestión de identidad
(e) continuidad del negocio y planificación de recuperación de desastres y recursos
(f) operaciones de sistemas y problemas de disponibilidad
(g) sistemas y seguridad de la red
(h) sistemas y monitoreo de red
(i) sistemas y desarrollo de aplicaciones y garantía de calidad
(j) seguridad física y controles ambientales
(k) privacidad de los datos del cliente
(l) manejo del distribuidor y del proveedor de servicios de terceros
(m) evaluación de riesgos
(n) respuesta ante incidentes

Fechas claves bajo la regulación de cíber-seguridad de Nueva York (23 NYCRR Parte 500)

1 de marzo, 2017 - 23 NYCRR Parte 500 entra en vigencia.
28 de agosto, 2017 - finaliza el período de transición de 180 días. Se requiere que las Entidades cubiertas cumplan con los requisitos de la 23 NYCRR Parte 500 a menos que se especifique lo contrario.
15 de febrero, 2018 - las Entidades cubiertas deben presentar la primera certificación conforme a la 23 NYCRR 500.17 (b) en esta fecha o antes.
1 de marzo, 2018 - finaliza el período de transición de un año. Se requiere que las Entidades cubiertas cumplan con los requisitos de las secciones 500.04 (b), 500.05, 500.09, 500.12 y 500.14 (b) de la 23 NYCRR Parte 500.
3 de Septiembre, 2018 - finaliza el período de transición de dieciocho meses. Se requiere que las Entidades cubiertas cumplan con los requisitos de las secciones 500.06, 500.08, 500.13, 500.14(a) y 500.15 (b) de la 23 NYCRR Parte 500.
1 de marzo, 2019 - finaliza el período de transición de dos año. Se requiere que las Entidades cubiertas cumplan con los requisitos de la 23 NYCRR 500.11.

Más información

Aprenda más acerca, Encrypted USB Drive - Kingston Technology

Kingston IronKey D500S Dispositivo Flash USB encriptado por hardware
Seguridad FIPS 140-3 de nivel 3 (pendiente) de grado militar

Encriptado por hardware XTS-AES de 256 bits

USB 3.2 Gen 1

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Hasta 310MB/s de lectura, 250MB/s de escritura
Más información Comprar
Kingston IronKey Vault Privacy 50 Serie
Seguridad de nivel empresarial

Encriptado por hardware XTS-AES de 256 bits

Disponible en USB Type-A y Type-C

USB 3.2 Gen 1

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Hasta 310MB/s de lectura, 250MB/s de escritura
Más información Comprar
Dispositivo Flash USB encriptado Kingston IronKey S1000
Criptochip integrado

USB 3.1 Gen 1 (USB 3.0)

4GB, 8GB, 16GB, 32GB, 64GB, 128GB

Hasta 230MB/seg (lectura), 240MB/seg (escritura)

Seguridad de contraseña compleja o frase de contraseña
Más información Comprar
Dispositivo Flash USB Series Kingston IronKey Keypad 200
Seguridad FIPS 140-3 de nivel 3 (pendiente) de grado militar

Encriptado por hardware XTS-AES de 256 bits

Disponible en USB Tipo A y Tipo C

Independiente del dispositivo/SO

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Hasta 280MB/s de lectura, 200MB/s de escritura
Más información Comprar