New York State Department of Financial Services 23 NYCRR 500

dic. 2022

Requisitos de ciberseguridad del Departamento de Servicios Financieros del Estado de Nueva York, 23 NYCRR 500

REQUISITOS EN MATERIA DE SEGURIDAD PARA EMPRESAS DE SERVICIOS FINANCIEROS

Cumpla la normativa con Kingston

Gestiona las amenazas y reduce los riesgos

Las opciones disponibles cubren todas las necesidades, tanto personales como corporativas y de la administración pública.

Almacenamiento de datos en USB con cifrado 100% compatible
Simple, fácil de usar, no se necesita software o drivers
Diseñado para una implementación rápida y eficiente

23 NYCRR 500 del NYDFS: 5 áreas fundamentales a tener en cuenta:

5 áreas fundamentales para garantizar el cumplimiento normativo:

Cifrado de los datos sensibles, tanto en tránsito como en reposo. (Sección 500.15, Cifrado de datos no públicos.)
Designación del Director de Seguridad de la Información (DSI/CISO)
Establecimiento de un programa de ciberseguridad
Adopción de una Política de ciberseguridad
Gestión de prestadores de servicios externos
- Incluye requisitos como:
  - Realización de pruebas anuales de penetración
  - Evaluaciones semestrales de vulnerabilidad

¿Existen sanciones por incumplimiento?

En virtud de la nueva propuesta del Departamento de Servicios Financieros (DFS), los ejecutivos de la empresa deberán confirmar el cumplimiento del reglamento cada año.

En caso de que se demuestre que dichas confirmaciones son incorrectas, constituirán una base para que el DFS o los consumidores demanden a los bancos, aseguradoras y otras firmas del sector financiero por quebrantamiento de su compromiso. La propuesta destaca que estos requisitos se implementarán “con arreglo a la legislación vigente”, lo cual incluye, entre otras, leyes como:
- la Ley de Banca de Nueva York y la Ley de Seguros de Nueva York
- Dichos instrumentos contemplan sanciones civiles y penales individuales por presentar falsas declaraciones al DFS

¿Qué tengo que hacer ahora?

Aspectos destacados

Se deriva de las normas del NIST (National Institute of Standards and Technology) de EE.UU.
En virtud de esta radical propuesta, los bancos, aseguradoras y otras empresas de servicios financieros serán considerados responsables de proteger tanto los datos en tránsito como los almacenados.
La propuesta exige a las organizaciones cifrar los datos sensibles, independientemente de si están en tránsito como si no.
Será de aplicación a Wall Street y a unas 1.900 empresas con 2,9 billones de dólares en activos
Regula quién es el responsable de la vulneración. Implica concienciación y la adopción de un plan de acción. La responsabilidad puede llegar hasta el Consejo de Administración
Las organizaciones tendrán que definir criterios, contar con una política de respuesta a incidencias y actualizar la gestión de proveedores con normas mínimas para poder hacer negocios con las instituciones financieras

Cifrado de datos

Una unidad USB cifrada de Kingston y IronKey es una de las soluciones para la normalización del cumplimiento del cifrado de datos
La propuesta exige a las organizaciones cifrar los datos, tanto los que están en tránsito como los almacenados. (Sección 500.15, Cifrado de datos no públicos.)
- Sección 500.15, Cifrado de datos no públicos.
  - (a) Como parte de su programa de ciberseguridad, sobre la base de su Evaluación de riesgos cada Entidad afectada deberá implementar controles, incluyendo el cifrado para proteger los datos no públicos mantenidos o transmitidos por la Entidad afectada, tanto en tránsito a través de redes externas como en reposo.
Requiere que las organizaciones que procesan o almacenan datos que puedan identificar personalmente a los titulares implementen las medidas de seguridad adecuadas para protegerse contra la pérdida de datos personales.
Las organizaciones vendrán obligadas a incluir estas normas mejoradas de cifrado de datos en sus contratos con prestadores de servicios externos. (Sección 500.11. Políticas de seguridad de prestadores de servicios externos.)
- Las organizaciones con gran número de prestadores de servicios deberán adoptar medidas para confirmar que cada uno de ellos cumple estrictamente los requisitos de cifrado.
  - Sección 500.11. Políticas de seguridad de prestadores de servicios externos.
    - (2) Las políticas y procedimientos de prestadores de servicios externos en materia del uso de cifrado, tal y como lo exige la Sección 500.15 de esta Título, para proteger los Datos no públicos en tránsito y en reposo;

¿Cómo afecta esto a mi organización?

Tanto las empresas de los sectores de la banca, los seguros y otros servicios financieros de Nueva York como aquellas que les presten servicios, estarán sujetas al reglamento.
Además, el cumplimiento del reglamento y sus normas impone disponer de los sistemas adecuados para la protección y cifrado de los datos almacenados.
Requiere que las organizaciones que procesan o almacenan datos que puedan identificar personalmente a los titulares implementen las medidas de seguridad adecuadas para protegerse contra la pérdida de datos personales.

¿Qué tiene que hacer mi empresa para cumplir?

Definir los productos/dispositivos internos y externos que almacenan datos
Deben registrarse los equipos de la entidad utilizados que estarán cubiertos por la política de protección de datos, y asegurarse de que se utilice el cifrado de los datos. Se trata de, entre otros: servidores, discos duros, SSD, unidades USB Flash, ordenadores y dispositivos móviles.
Análisis de inventario
Evaluación del volumen total de datos personales.
Purgado
Eliminación de archivos de información personalmente identificable (IPI) innecesarios.
Controladores de información
Revisión de los riesgos de privacidad y evaluaciones de impacto.
Contratos
Adapte su empresa a los futuros requisitos implementando ahora políticas que serán obligatorias a partir de febrero de 2018
Vulneraciones de la privacidad de los datos
El Reglamento exige notificarlas en un plazo máximo de 72 horas

Solución - Implementar los sistemas de protección, normas técnicas y políticas adecuadas, tales como cifrado de los datos personales/información personalmente identificable (IPI) para mitigar los riesgos de incumplimiento. Más información

Notificación de vulneraciones

Las notificaciones de vulneraciones de datos se efectuarán antes de que transcurran 72 horas desde el momento de tomar conocimiento de las mismas, si fuese posible, aunque no será necesario cursarla a la autoridad de control si existen pocas probabilidades de que conlleve un riesgo para los derechos o libertades de los particulares.

Derechos del consumidor

¿Qué es la información personalmente identificable (IPI)?

La Información personalmente identificable (IPI), o Información personal sensible (IPS) como la denomina el derecho privado estadounidense, es aquella que puede utilizarse sola, o con otros datos, para identificar y localizar a, o contactar con, una determinada persona, o para identificar a un individuo dentro de un contexto.

La Publicación especial 800-122[4] de NIST defines como IPI a “todo dato acerca de una persona mantenida por una agencia, incluyendo (1) aquella información que pueda utilizarse para diferenciar o detectar la identidad de un individuo, como nombre, número de Seguridad Social, fecha y lugar de nacimiento, apellido de soltera de su madre o registros biométricos; y (2) cualquier otra información vinculada o vinculable a una persona, como datos de salud, educación, situación financiera y laboral”. (Consulte información más detallada en: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )

Política de ciberseguridad

(del documento “Requisitos de ciberseguridad para empresas de servicios financieros”: https://www.governor.ny.gov/sites/default/files/atoms/files/Cybersecurity_Requirements_Financial_Services_23NYCRR500.pdf )

Cada Entidad afectada implementará y mantendrá una o más políticas por escrito, aprobadas por un alto directivo o por el Consejo de Administración de la entidad (o bien, un comité designado por el mismo) u otro órgano rector equivalente, que definirá las políticas y procedimientos de la Entidad afectada para la protección de sus Sistemas de información y la Información no pública almacenada en los mismos.

(a) seguridad de la información
(b) gestión y clasificación de los datos
(c) gestión de inventarios de activos y de dispositivos
(d) gestión de controles de acceso y de identidades
(e) planificación y recursos para la continuidad de las actividades y la recuperación de desastres
(f) cuestiones relativas a las operaciones y disponibilidad de los sistemas
(g) seguridad de los sistemas y redes
(h) monitorización de sistemas y redes
(i) desarrollo y control de calidad de sistemas y aplicaciones
(j) controles de seguridad física y ambiental
(k) privacidad de datos de los clientes
(l) gestión de proveedores y prestadores de servicios externos
(m) gestión de riesgos
(n) respuesta a incidencias

Fechas clave del Reglamento de Ciberseguridad de la Sección 500 del Título 23 de los Códigos, Reglas y Reglamentos del Estado de Nueva York (23 NYCRR Part 500)

1 de marzo de 2017 - Entrada en vigor de la Sección 500 del Título 23 de los Códigos, Reglas y Reglamentos del Estado de Nueva York (23 NYCRR Part 500)
18 de agosto de 2017 - Fin del período de transición de 180 días. Las Entidades afectadas vienen obligadas a cumplir los requisitos del 23 NYCRR Part 500, salvo que se especifique algo distinto.
15 de febrero de 2018 - Las Entidades afectadas vienen obligadas a presentar el primer certificado estipulado por 23 NYCRR 500.17(b) como más tardar en esta fecha.
1 de marzo de 2018 - Fin del período de transición de un año. Las Entidades afectadas deben cumplir los requisitos de las Secciones 500.04(b), 500.05, 500.09, 500.12 y 500.14(b) de 23 NYCRR Part 500.
3 de septiembre de 2018 - Fin del período de transición de 18 meses. Las Entidades afectadas deben cumplir los requisitos de las Secciones 500.06, 500.08, 500.13, 500.14(a) y 500.15 de 23 NYCRR Part 500.
1 de marzo de 2019 - Fin del período de transición de dos años. Las Entidades afectadas deben cumplir la totalidad de los requisitos de 23 NYCRR 500.11.

Más información

Conozca más acerca de Unidades Flash cifradas - Kingston Technology

Unidad Flash USB cifrada por hardware Kingston IronKey D500S
Protección de grado militar FIPS 140-3 de Nivel 3 (pendiente)

Cifrado por hardware XTS-AES de 256 bits

Disponible en modelo Administrado

USB 3.2 Gen 1

8 GB, 16 GB, 32 GB, 64 GB, 128 GB, 256 GB, 512 GB

Hasta 310 MB/s en lectura y 250 MB/s en escritura
Más información Comprar
Kingston IronKey Vault Privacy 50 Serie
Seguridad de grado empresarial

Cifrado por hardware XTS-AES de 256 bits

Disponibles en modelos Tipo A y Tipo C

USB 3.2 Gen 1

8 GB, 16 GB, 32 GB, 64 GB, 128 GB, 256 GB, 512 GB

Hasta 310 MB/s en lectura y 250 MB/s en escritura
Más información Comprar
DT4000G2DM
Unidad Flash USB cifrada Kingston IronKey S1000
Chip de cifrado en el dispositivo

USB 3.1 Gen 1 (USB 3.0)

4 GB, 8 GB, 16 GB, 32 GB, 64 GB y 128 GB

Hasta 230 MB/s en lectura y 240 MB/s en escritura

Protección mediante contraseña compleja o frase secreta
Más información Comprar
Unidad Flash USB Serie Kingston IronKey Keypad 200
Protección de grado militar FIPS 140-3 de Nivel 3 (pendiente)

Cifrado por hardware XTS-AES de 256 bits

Disponibles en modelos Tipo A y Tipo C

Independiente de dispositivo y SO

8 GB, 16 GB, 32 GB, 64 GB, 128 GB, 256 GB, 512 GB

Hasta 280 MB/s en lectura y 200 MB/s en escritura
Más información Comprar