(Entrada en vigor: 15 de febrero de 2018) Aplicable a toda entidad de Nueva York que procese datos corporativos/personales; entrará en vigor en febrero de 2018 y tendrá un plazo de implementación de 180 días.

23 NYCRR 500 del NYDFS: 5 áreas fundamentales a tener en cuenta:

5 áreas fundamentales para garantizar el cumplimiento normativo:

  1. Cifrado de los datos sensibles, tanto en tránsito como en reposo. (Sección 500.15, Cifrado de datos no públicos.)
  2. Designación del Director de Seguridad de la Información (DSI/CISO)
  3. Establecimiento de un programa de ciberseguridad
  4. Adopción de una Política de ciberseguridad
  5. Gestión de prestadores de servicios externos
    • Incluye requisitos como:
      • Realización de pruebas anuales de penetración
      • Evaluaciones semestrales de vulnerabilidad
New York State Seal

¿Existen sanciones por incumplimiento?

En virtud de la nueva propuesta del Departamento de Servicios Financieros (DFS), los ejecutivos de la empresa deberán confirmar el cumplimiento del reglamento cada año.

  • En caso de que se demuestre que dichas confirmaciones son incorrectas, constituirán una base para que el DFS o los consumidores demanden a los bancos, aseguradoras y otras firmas del sector financiero por quebrantamiento de su compromiso. La propuesta destaca que estos requisitos se implementarán “con arreglo a la legislación vigente”, lo cual incluye, entre otras, leyes como:
    • la Ley de Banca de Nueva York y la Ley de Seguros de Nueva York
    • Dichos instrumentos contemplan sanciones civiles y penales individuales por presentar falsas declaraciones al DFS
¿Existen sanciones por incumplimiento?

¿Qué tengo que hacer ahora?

Aspectos destacados

  • Se deriva de las normas del NIST (National Institute of Standards and Technology) de EE.UU.
  • En virtud de esta radical propuesta, los bancos, aseguradoras y otras empresas de servicios financieros serán considerados responsables de proteger tanto los datos en tránsito como los almacenados.
  • La propuesta exige a las organizaciones cifrar los datos sensibles, independientemente de si están en tránsito como si no.
  • Será de aplicación a Wall Street y a unas 1.900 empresas con 2,9 billones de dólares en activos
  • Regula quién es el responsable de la vulneración. Implica concienciación y la adopción de un plan de acción. La responsabilidad puede llegar hasta el Consejo de Administración
  • Las organizaciones tendrán que definir criterios, contar con una política de respuesta a incidencias y actualizar la gestión de proveedores con normas mínimas para poder hacer negocios con las instituciones financieras

Cifrado de datos

  • Una unidad USB cifrada de Kingston y IronKey es una de las soluciones para la normalización del cumplimiento del cifrado de datos
  • La propuesta exige a las organizaciones cifrar los datos, tanto los que están en tránsito como los almacenados. (Sección 500.15, Cifrado de datos no públicos.)
    • Sección 500.15, Cifrado de datos no públicos.
      • (a) Como parte de su programa de ciberseguridad, sobre la base de su Evaluación de riesgos cada Entidad afectada deberá implementar controles, incluyendo el cifrado para proteger los datos no públicos mantenidos o transmitidos por la Entidad afectada, tanto en tránsito a través de redes externas como en reposo.
  • Requiere que las organizaciones que procesan o almacenan datos que puedan identificar personalmente a los titulares implementen las medidas de seguridad adecuadas para protegerse contra la pérdida de datos personales.
  • Las organizaciones vendrán obligadas a incluir estas normas mejoradas de cifrado de datos en sus contratos con prestadores de servicios externos. (Sección 500.11. Políticas de seguridad de prestadores de servicios externos.)
    • Las organizaciones con gran número de prestadores de servicios deberán adoptar medidas para confirmar que cada uno de ellos cumple estrictamente los requisitos de cifrado.
      • Sección 500.11. Políticas de seguridad de prestadores de servicios externos.
        • (2) Las políticas y procedimientos de prestadores de servicios externos en materia del uso de cifrado, tal y como lo exige la Sección 500.15 de esta Título, para proteger los Datos no públicos en tránsito y en reposo;

¿Cómo afecta esto a mi organización?

  • Tanto las empresas de los sectores de la banca, los seguros y otros servicios financieros de Nueva York como aquellas que les presten servicios, estarán sujetas al reglamento.
  • Además, el cumplimiento del reglamento y sus normas impone disponer de los sistemas adecuados para la protección y cifrado de los datos almacenados.
  • Requiere que las organizaciones que procesan o almacenan datos que puedan identificar personalmente a los titulares implementen las medidas de seguridad adecuadas para protegerse contra la pérdida de datos personales.

¿Qué tiene que hacer mi empresa para cumplir?

  • Definir los productos/dispositivos internos y externos que almacenan datos
    Deben registrarse los equipos de la entidad utilizados que estarán cubiertos por la política de protección de datos, y asegurarse de que se utilice el cifrado de los datos. Se trata de, entre otros: servidores, discos duros, SSD, unidades USB Flash, ordenadores y dispositivos móviles.
  • Análisis de inventario
    Evaluación del volumen total de datos personales.
  • Purgado
    Eliminación de archivos de información personalmente identificable (IPI) innecesarios.
  • Controladores de información
    Revisión de los riesgos de privacidad y evaluaciones de impacto.
  • Contratos
    Adapte su empresa a los futuros requisitos implementando ahora políticas que serán obligatorias a partir de febrero de 2018
  • Vulneraciones de la privacidad de los datos
    El Reglamento exige notificarlas en un plazo máximo de 72 horas

Solución - Implementar los sistemas de protección, normas técnicas y políticas adecuadas, tales como cifrado de los datos personales/información personalmente identificable (IPI) para mitigar los riesgos de incumplimiento. Más información

Notificación de vulneraciones

Las notificaciones de vulneraciones de datos se efectuarán antes de que transcurran 72 horas desde el momento de tomar conocimiento de las mismas, si fuese posible, aunque no será necesario cursarla a la autoridad de control si existen pocas probabilidades de que conlleve un riesgo para los derechos o libertades de los particulares.

Derechos del consumidor

¿Qué es la información personalmente identificable (IPI)?

La Información personalmente identificable (IPI), o Información personal sensible (IPS) como la denomina el derecho privado estadounidense, es aquella que puede utilizarse sola, o con otros datos, para identificar y localizar a, o contactar con, una determinada persona, o para identificar a un individuo dentro de un contexto.

  • La Publicación especial 800-122[4] de NIST defines como IPI a “todo dato acerca de una persona mantenida por una agencia, incluyendo (1) aquella información que pueda utilizarse para diferenciar o detectar la identidad de un individuo, como nombre, número de Seguridad Social, fecha y lugar de nacimiento, apellido de soltera de su madre o registros biométricos; y (2) cualquier otra información vinculada o vinculable a una persona, como datos de salud, educación, situación financiera y laboral”. (Consulte información más detallada en: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
Derechos del consumidor

Política de ciberseguridad

(del documento “Requisitos de ciberseguridad para empresas de servicios financieros”: https://www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf )

Cada Entidad afectada implementará y mantendrá una o más políticas por escrito, aprobadas por un alto directivo o por el Consejo de Administración de la entidad (o bien, un comité designado por el mismo) u otro órgano rector equivalente, que definirá las políticas y procedimientos de la Entidad afectada para la protección de sus Sistemas de información y la Información no pública almacenada en los mismos.

CyberSecurity

(a) seguridad de la información
(b) gestión y clasificación de los datos
(c) gestión de inventarios de activos y de dispositivos
(d) gestión de controles de acceso y de identidades
(e) planificación y recursos para la continuidad de las actividades y la recuperación de desastres
(f) cuestiones relativas a las operaciones y disponibilidad de los sistemas
(g) seguridad de los sistemas y redes
(h) monitorización de sistemas y redes
(i) desarrollo y control de calidad de sistemas y aplicaciones
(j) controles de seguridad física y ambiental
(k) privacidad de datos de los clientes
(l) gestión de proveedores y prestadores de servicios externos
(m) gestión de riesgos
(n) respuesta a incidencias

Fechas clave del Reglamento de Ciberseguridad de la Sección 500 del Título 23 de los Códigos, Reglas y Reglamentos del Estado de Nueva York (23 NYCRR Part 500)

  • 1 de marzo de 2017 - Entrada en vigor de la Sección 500 del Título 23 de los Códigos, Reglas y Reglamentos del Estado de Nueva York (23 NYCRR Part 500)
  • 18 de agosto de 2017 - Fin del período de transición de 180 días. Las Entidades afectadas vienen obligadas a cumplir los requisitos del 23 NYCRR Part 500, salvo que se especifique algo distinto.
  • 15 de febrero de 2018 - Las Entidades afectadas vienen obligadas a presentar el primer certificado estipulado por 23 NYCRR 500.17(b) como más tardar en esta fecha.
  • 1 de marzo de 2018 - Fin del período de transición de un año. Las Entidades afectadas deben cumplir los requisitos de las Secciones 500.04(b), 500.05, 500.09, 500.12 y 500.14(b) de 23 NYCRR Part 500.
  • 3 de septiembre de 2018 - Fin del período de transición de 18 meses. Las Entidades afectadas deben cumplir los requisitos de las Secciones 500.06, 500.08, 500.13, 500.14(a) y 500.15 de 23 NYCRR Part 500.
  • 1 de marzo de 2019 - Fin del período de transición de dos años. Las Entidades afectadas deben cumplir la totalidad de los requisitos de 23 NYCRR 500.11.