(Application intégrale : 15 février 2018) Applicable à toutes les organisations basées à New York et qui traitent des données personnelles et/ou professionnelles, à partir de février 2018 avec 180 jours de transition avant mise en œuvre.

NYDFS - 23 NYCRR 500 : Cinq domaines principaux à connaître :

Cinq actions pour assurer votre conformité :

  1. Chiffrer les données sensibles, stockées et transférées. (Section 500.15 Chiffrement des informations non-publiques.)
  2. Nommer un responsable de la sécurité des informations (RSI)
  3. Mettre en place un programme de cybersécurité
  4. Mettre en place une politique de cybersécurité
  5. Gérer les fournisseurs de services tiers
    • Aussi inclus :
      • Tests de pénétration annuels
      • Évaluations de vulnérabilité semestrielles
New York State Seal

La non-conformité est-elle sanctionnée par des pénalités ?

Conformément au nouveau programme DFS, les responsables des entreprises doivent certifier la conformité avec la réglementation NY DFS une fois par an.

  • Si les certifications se révèlent incorrectes, elles peuvent servir d'élément à charge pour le DFS ou des consommateurs souhaitant porter plainte contre une banque, un assureur ou autres institutions financières pour la violation d'une telle certification. La proposition précise que ces exigences seront appliquées conformément à la législation en vigueur, ce qui inclut :
    • ex. la législation bancaire de New York, la législation des assurances de New York
    • qui imposent des pénalités civiles et pénales individuelles en cas de déclaration intentionnellement fausse présentée au DFS.
La non-conformité est-elle sanctionnée par des pénalités ?

Que dois-je savoir ?

Éléments clés

  • Dérivés des normes NIST
  • Proposition générale exigeant la stricte responsabilité des banques, assureurs et autres services financiers pour assurer la protection des données conservées et en transit.
  • La proposition exige que les organisations chiffrent les données sensibles, aussi bien stockées que transférées.
  • Cela concerne Wall Street et environ 1900 entreprises, représentant 2,9 trillions USD en termes de ressources.
  • La proposition définit les responsables en cas de violation, les personnes qui doivent être sensibilisées, le plan d'action, les informations communiquées au conseil dans ce domaine.
  • Les entreprises doivent définir les critères, avoir une politique d'intervention en cas d'incident, mettre à jour la gestion des fournisseurs, avec des normes minimales pour travailler avec des institutions financières.

Chiffrement des données

  • Les clés USB chiffrées Kingston ou IronKey font partie des solutions de standardisation pour se mettre en conformité avec le chiffrement des données.
  • La proposition exige que les organisations chiffrent les données sensibles, qu'elles soient stockées ou transférées. (Section 500.15 Chiffrement des informations non-publiques.)
    • Section 500.15 Chiffrement des informations non-publiques.
      • (a) Dans le cadre de son programme de cybersécurité, basé sur ses évaluations des risques, chaque entité couverte doit mettre en œuvre des contrôles, incluant le chiffrement, pour protéger les informations non-publiques conservées ou transmises par l'entité couverte, que ces données soient en transit sur des réseaux externes ou au repos.
  • Elle exige que les organisations qui conservent ou traitent des informations personnelles identifiables mettent en place des mesures de sécurité appropriées pour éviter les pertes de données personnelles.
  • Les organisations devront intégrer les normes améliorées de chiffrement des données dans leurs contrats avec tous les fournisseurs de services tiers concernés. (Section 500.11 Politique de sécurité pour fournisseur de service tiers.)
    • Les organisations utilisant un grand nombre de fournisseurs, et qui doivent prendre les mesures appropriées pour confirmer la conformité des fournisseurs aux exigences de chiffrement.
      • Section 500.11 Politique de sécurité pour fournisseur de service tiers.
        • (2) les politiques et les procédures pour fournisseurs de services tiers concernant l'utilisation du chiffrement, telles qu'exigées par la section 500.15 des présentes pour protéger les informations non-publiques en transit et au repos.

Quelles conséquences pour mon entreprise ?

  • Les entreprises des secteurs bancaires, des assurances, et autres services financiers dans New York City, ou si vous fournissez un service ou si vous êtes un sous-traitant d'une entreprise dans un de ces secteurs, vous devez appliquer cette réglementation et ses exigences.
  • Vous devez aussi vous conformer à la réglementation et aux règles sur les systèmes à utiliser pour garantir la sécurité des données, leur chiffrement et leur stockage.
  • Ce règlement exige que les organisations qui conservent ou traitent des informations personnelles identifiables mettent en place des mesures de sécurité appropriées pour éviter les pertes de données personnelles.

Que doit faire mon entreprise pour être conforme ?

  • Faire l'inventaire des produits/ dispositifs internes et externes utilisés pour conserver des données
    Les équipements utilisés et couverts par votre politique de sécurité des données doivent être enregistrés et le chiffrement des données appliqué. Ces équipements incluent, par exemple et sans limitation : serveurs, disques durs, disques à semi-conducteurs, clés USB, ordinateurs, dispositifs mobiles.
  • Analyse d'inventaire
    Évaluer la quantité globale des données personnelles
  • Purger
    Éliminer les archives contenant des informations personnelles identifiables (IPI) ne présentant pas d'utilité.
  • Contrôleurs des informations
    Réviser les évaluations d'impact et de risques pour la confidentialité des données
  • Contrats
    Protéger votre entreprise en mettant maintenant en place des politiques qui deviendront obligatoires à partir de février 2018.
  • Violation des données
    La réglementation exige un préavis de 72 heures.

Solution - Mettre en place des protections, des normes techniques et des politiques appropriées, telles que le chiffrement des données personnelles/ informations personnelles identifiables (IPI) pour limiter les risques de non-conformité. En savoir plus

Notification de violation

Dans la mesure du possible, les notifications de violation des données doivent être présentées dans un délai de 72 heures après leur découverte. De telles notifications n'ont pas besoin d'être présentées au responsable de la protection des données lorsqu'elles n'impliquent probablement pas de risque pour les droits ou les libertés individuelles.

Droits des consommateurs

Que sont les données personnelles identifiables (IPI) ?

Les informations personnelles identifiables ou les informations personnelles sensibles, telles que définies par la législation américaine sur la protection des données et la sécurité des informations, sont des données qui peuvent être utilisées seules ou en combinaison avec d'autres informations, pour identifier, contacter ou géopositionner une personne ou pour identifier une personne dans un contexte.

  • La publication spéciale NIST 800-122[4] définit les IPI comme étant « toute information conservée par un organisme, incluant (1) toute information qui peut servir à reconnaître ou tracer l'identité d'une personne, telle que nom, numéro de sécurité sociale, date et lieu de naissance, nom de jeune fille de la mère, données biométriques, et (2) tout autre information liée ou potentiellement liée à une personne, telle que données médicales, éducationnelles, financières, ou professionnelles ». (Pour plus d’informations : https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
Droits des consommateurs

Politique de cybersécurité

(extrait du document « Exigences de cybersécurité pour entreprises financières / Cybersecurity requirements for financial services companies » : https://www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf )

Chaque entité couverte doit mettre en œuvre et maintenir une ou des politiques écrites, approuvées par un cadre supérieur, ou par le conseil d'administration de l'entité couverte (ou un comité approprié), ou un organisme de contrôle équivalent, définissant les politiques et les procédures de l'entité couverte pour la protection de ses systèmes d'information et des informations non publiques stockées sur ces systèmes d'information.

CyberSecurity

(a) sécurité des informations
(b) gouvernance et classification des données
(c) inventaire des ressources et gestion des dispositifs
(d) contrôle d'accès et gestion des identités
(e) ressources et planification de la continuité des affaires et de la récupération après désastre
(f) problèmes de disponibilité et opérations des systèmes
(g) sécurité des réseaux et des systèmes
(h) contrôle des réseaux et des systèmes
(i) développement des systèmes et des applications et assurance qualité
(j) sécurité physique et contrôles environnementaux
(k) confidentialité des données clients
(l) gestion des fournisseurs de services tiers et fournisseurs
(m) évaluation des risques
(n) intervention sur incident

Dates principales de la nouvelle législation sur la sécurité de New York (23 NYCRR Part 500)

  • 01 mars 2017 - Mise en application de 23 NYCRR Part 500.
  • 28 août 2017 - fin de la période de 180 jours de transition. Les entités couvertes doivent être en conformité avec les exigences 23 NYCRR Part 500 sauf avis contraire.
  • 15 février 2018 - Les entités couvertes doivent présenter la première certification 23 NYCRR 500.17(b) avant ou à cette date.
  • 01 mars 2018 - fin de la période d'une année de transition. Les entités couvertes doivent être en conformité avec les exigences des sections 500.04(b), 500.05, 500.09, 500.12 et 500.14(b) de 23 NYCRR Part 500.
  • 03 septembre 2018 - fin de la période de 18 mois de transition. Les entités couvertes doivent être en conformité avec les exigences des sections 500.06, 500.08, 500.13, 500.14(a) et 500.15 de 23 NYCRR Part 500.
  • 01 mars 2019 - fin de la période de deux années de transition. Les entités couvertes doivent être en conformité avec les exigences 23 NYCRR 500.11.