Este site usa cookies para oferecer melhores recursos e funcionalidades. Ao usar o site, você está consentindo com esse uso. Nós valorizamos sua privacidade e a segurança de dados. Examine nossa Política de Cookies e Política de Privacidade, ambas foram atualizadas recentemente.

DEPARTAMENTO DE SERVIÇOS FINANCEIROS DO ESTADO DE NOVA YORK 23 NYCRR 500

(Em vigor: 15 de fevereiro de 2018) Aplica-se a todas as organizações em Nova York que processam dados pessoais / corporativos; entrará em vigor em fevereiro de 2018 com 180 dias para implementação.

REQUISITOS DE SEGURANÇA CIBERNÉTICA PARA EMPRESAS DE SERVIÇOS FINANCEIROS
Mantenha a conformidade com a Kingston

Encrypted lineup

Gerencie ameaças e reduza riscos

As opções disponíveis cobrem todas as necessidades, desde pessoais, corporativas até governamentais.

  • 100% em conformidade no armazenamento em pendrive criptografado
  • Simples, fácil de usar, não necessita de software ou drivers
  • Projetado para implantação rápida e eficiente

Compliance logos

NYDFS - 23 NYCRR 500: As 5 principais áreas para se ter cuidado:

5 principais áreas para garantir sua conformidade:

  1. Criptografar dados confidenciais em trânsito e estáticos. (Seção 500.15 Criptografia de Informações Não Públicas.)
  2. Indicar um Diretor de Segurança de Informações (CISO)
  3. Estabelecer um Programa de Segurança Cibernética
  4. Adotar uma Política de Segurança Cibernética
  5. Administrar prestadores de serviços terceirizados
    • Inclui os obrigatórios:
      • Testes de penetração anuais
      • Avaliações de vulnerabilidade bianuais

New York State Seal

Existe alguma penalidade pela não conformidade?

Existe alguma penalidade pela não conformidade?

Sob o novo esquema DFS, os executivos das empresas devem confirmar a conformidade com os regulamentos NY DFS anualmente.

  • Se estes certificados demonstrarem estar incorretos, eles podem fornecer as bases para que o DFS ou os consumidores apresentem ações contra bancos, seguradoras e outras firmas de serviços financeiros por violação desses certificados. A proposta observa que seus requisitos deverão ser cumpridos "sob quaisquer leis aplicáveis", o que inclui,
    • por exemplo, a lei de Serviços Bancários de Nova York e a Lei de Seguros de Nova York
    • Elas contêm penalidades individuais civis e criminais por fazer declarações falsas intencionalmente ao DFS
O que eu preciso saber?
Destaques
  • Derivados dos padrões NIST
  • Proposta abrangente com bancos detentores, seguradoras e outras firmas de serviços financeiros estritamente responsáveis por proteger dados em trânsito e estáticos
  • As propostas para as organizações criptografarem dados confidenciais em trânsito e estáticas.
  • Fundos de Wall Street e cerca de 1.900 empresas com $2,9 trilhões (USD) em ativos
  • Regula quem é responsável pela violação, conscientização obrigatória e plano de ação; chegar até a diretoria
  • As empresas precisam definir critérios, possuir uma política de resposta a incidentes e atualizar a gestão de fornecedores com padrões mínimos para fazer negócios com as instituições financeiras
Criptografia de dados

Criptografia de dados

  • Um pendrive criptografado Ironkey e Kingston é uma das soluções para atender os padrões de conformidade com a criptografia de dados
  • A proposta solicita que as organizações criptografem dados confidenciais em trânsito e estáticos. (Seção 500.15 Criptografia de Informações Não Públicas.)
    • Seção 500.15 Criptografia de Informações Não Públicas.
      • (a) Como parte de seu programa de segurança cibernética, com base em sua avaliação de risco, cada entidade envolvida deve implementar controles, incluindo a criptografia, para proteger informações não públicas mantidas ou transmitidas pela Entidade envolvida, tanto em trânsito quanto em redes externas estáticas.
  • Requer que as organizações que processam ou mantém informações pessoalmente identificáveis implementem medidas de segurança adequadas para proteção contra a perda de dados pessoais.
  • As organizações serão solicitadas a incluir esses padrões aperfeiçoados de processamento de dados em seus contratos com prestadores de serviço terceirizados. (Seção 500.11 Política de Segurança de Prestadores de Serviço Terceirizados).
    • Organizações com grande número de prestadores de serviços devem tomar providências para confirmar a adesão de cada prestador de serviços à exigência de criptografia.
      • Seção 500.11 Política de Segurança de Prestadores de Serviço Terceirizados.
        • (2) as políticas e procedimentos do Prestador de serviços terceirizado para uso de criptografia conforme exigido na seção 500.15 desta Parte para proteger informações não públicas em trânsito e estáticas;
Como isso afeta minha empresa?
  • As empresas do setor bancário, de seguros e de outros serviços financeiros dentro da Cidade de Nova York ou se você fornecer um serviço ou tiver um contrato como fornecedor a firmas desse setor, você também precisará seguir e cumprir essas regras.
  • Você também precisará estar em conformidade com os regulamentos e regras sobre ter os sistemas certos em vigor para a segurança e a criptografia de informações no armazenamento de dados.
  • Requer que as organizações que processam ou mantém informações pessoalmente identificáveis implementem medidas de segurança adequadas para proteção contra a perda de dados pessoais.
O que minha empresa deve fazer para ficar em conformidade?
  • Mapear produtos / dispositivos internos e externos que armazenam dados
  • Registrar e exigir que seja usado equipamento da empresa, para estar coberto por sua política de segurança de dados e assegurar que seja utilizada a criptografia de dados. Itens podem incluir, mas não se limitam a: servidores, discos rígidos, SSDs, pendrives, computadores e dispositivos móveis.
  • Análise do inventário
    Avalie o montante de dados pessoais em sua totalidade.
  • Limpeza
    Elimine arquivos de informações pessoalmente identificáveis (PII) desnecessários.
  • Controladores de informações
    Reveja o risco à privacidade e as avaliações de impacto.
  • Contratos
    Proteja o futuro de sua empresa estabelecendo políticas agora que se tornem obrigatórias após seu início efetivo em fevereiro de 2018 8
  • Violações de dados
    Os regulamentos requerem aviso em 72 horas.

Solução -Implementar proteções, padrões técnicos e políticas apropriadas como criptografia de dados pessoais / informações pessoalmente identificáveis (PII) para minimizar o risco de não conformidade.Saiba mais

Notificação de violação

Notificações de violações de dados devem ser executadas até 72 horas depois do conhecimento da violação, onde possível, embora a notificação não precise ser feita para o DPA se for improvável que resulte em risco para os direitos ou liberdades dos indivíduos.

Direitos do consumidor
O que são Informações Pessoalmente Identificáveis (PII)?

Informações pessoalmente identificáveis (PII) ou Informações Pessoais Reservadas (SPI), como usadas nas leis de privacidade e segurança das informações dos EUA, são informações que podem ser usadas sozinhas ou conjugadas a outras informações para identificar, contatar ou localizar uma pessoa ou para identificar um indivíduo em um contexto.

  • A publicação especial do NIST (NIST Special Publication) 800-122[4] define PII como “qualquer informação sobre um indivíduo mantida por um órgão, incluindo, (1) qualquer informação que possa ser usada para distinguir ou rastrear a identidade de um indivíduo, como um nome, número de seguro social, data e local de nascimento, nome de solteira da mãe ou registros biométricos e (2) qualquer outra informação que seja ou possa ser relacionada a um indivíduo, como informações médicas, educacionais, financeiras e empregatícias." (Para mais informações: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )

Direitos do consumidor

Política de segurança cibernética

(Do documento “Exigências de segurança cibernética para empresas de serviços financeiros": https://dfs.ny.gov/docs/legal/regulations/adoptions/dfsrf500txt.pdf )

  • Todas as Entidades envolvidas devem implementar e manter política ou políticas por escrito, aprovadas por um Diretor Sênior ou pelo Conselho Diretor da Entidade envolvida (ou um comitê apropriado indicado por ele) ou corpo diretivo equivalente, estabelecendo as políticas e procedimentos da Entidade envolvida para a proteção dos Sistemas de informação e informações não públicas armazenadas nestes sistemas de informação.

(a) segurança das informações

(b) governança e classificação de dados

(c) inventário dos ativos e gerenciamento dos dispositivos

(d) controles de acesso e gerenciamento de identidades

(e) planejamento e recursos para a continuidade dos negócios e recuperação de desastres

(f) preocupação com as operações e disponibilidade dos sistemas

(g) segurança dos sistemas e da rede

(h) monitoramento dos sistemas e da rede

(i) desenvolvimento e garantia de qualidade de sistemas e aplicativos

(j) segurança física e controles ambientais

(k) privacidade de dados do cliente

(l) gerenciamento de fornecedores e prestadores de serviços terceirizados

(m) avaliação de riscos

(n) resposta a incidentes

Datas chave sob a regulamentação de segurança cibernética de Nova York (NYCRR 23 Parte 500)
  • 1º de março de 2017 - 23 NYCRR Parte 500 entra em vigor
  • 28 de agosto de 2017 – fim do período de transição de 180 dias As entidades envolvidas são obrigadas a estar em conformidade com as exigências da 23 NYCRR Parte 500 salvo especificado de outra forma.
  • 15 de fevereiro de 2018 - As entidades envolvidas são obrigadas a apresentar o primeiro certificado sob a 23 NYCRR 500.17(b) em ou antes desta data.
  • 1º de março de 2018 - Fim do período de transição de um ano. As entidades envolvidas são obrigadas a estar em conformidade com as exigências das seções 500.04(b), 500.05, 500.09, 500.12 e 500.14(b) da 23 NYCRR Parte 500.
  • 3 de setembro de 2018 - Fim do período de transição de dezoito meses. As entidades envolvidas são obrigadas a estar em conformidade com as exigências das seções 500.06, 500.08, 500.13, 500.14(a) e 500.15 da 23 NYCRR Parte 500.
  • 1º de março de 2019 - Fim do período de transição de dois anos. As entidades envolvidas são obrigadas a estar em conformidade com as exigências da 23 NYCRR Parte 500.11.

Estas informações são apresentadas somente para sua orientação. A Kingston não está oferecendo serviços de consultoria ou orientação legal visando a conformidade com a NYDFS. Para informações adicionais com relação a NYDFS, por favor, acesse o site em: http://www.dfs.ny.gov/about/cybersecurity.htm

        Back To Top