(In vigore dal: 15 febbraio 2018) Si applica a tutte le organizzazioni di New York che elaborano dati di persone o società ed entrerà in vigore a Febbraio 2018 con 180 giorni di implementazione.

NYDFS - 23 NYCRR 500: Le principali 5 aree di cui tenere conto:

I 5 punti più importanti per assicurarsi la conformità:

  1. Crittografia dei dati in transito e di quelli “at-rest”. (Sezione 500.15, Crittografia delle informazioni non pubbliche).
  2. Nomina del CISO (Chief Information Security Officer)
  3. Definizione di un Programma sulla sicurezza informatica
  4. Adozione di un regolamento sulla sicurezza informatica
  5. Gestione dei fornitori di servizi terze parti
    • Include i requisiti richiesti:
      • Test di penetrazione annuale
      • Valutazione della vulnerabilità semestrale
New York State Seal

Sono previste sanzioni per i casi di non conformità?

In base al nuovo schema previsto dal DFS, i dirigenti delle società devono provvedere a certificare la conformità con la nuova normativa NY DFS su base annuale.

  • Nel caso in cui tali certificazioni dovessero risultare non in regola, si verificherà il presupposto che legittimerebbe il DFS o i consumatori ad agire contro banche, società di assicurazione o servizi finanziari per la violazione di tali certificazioni. La proposta include sezioni che prevedono l’applicazione dei requisiti normativi “sotto qualunque norma vigente”, incluse quelle citate di seguito:
    • la New York Banking Law e la New York Insurance Law;
    • quelle che prevedono sanzioni civili e penali per i casi di false dichiarazioni intenzionalmente rilasciate al DFS
Sono previste sanzioni per i casi di non conformità?

Cosa bisogna sapere?

In primo piano

  • Derivato degli standard NIST
  • La normativa considera banche, assicuratori e altri operatori finanziari pienamente responsabili della protezione dei dati in transito e dei dati archiviati
  • La norma impone alle organizzazioni di proteggere con la crittografia sia i dati sensibili in transito che quelli archiviati
  • Sarà interessata Wall Street e circa 1.900 società con 2,9 bilioni di dollari (USD) in attività
  • Vengono definiti i responsabili delle violazioni; viene imposto l'obbligo di consapevolezza e l'adozione di un piano di azione; sono interessati diverse figure fino ai vertici del consiglio di amministrazione
  • Le società devono definire dei criteri, predisporre una politica di reazione in caso di incidente e conformare la gestione dei fornitori all'adozione di standard minimi per poter interagire con le istituzioni finanziarie

Crittografia dati

  • Un drive USB IronKey Kingston rappresenta una delle possibili soluzioni per standardizzare i processi di conformità associati alla crittografia dati
  • La norma impone alle organizzazioni di proteggere con la crittografia sia i dati sensibili in transito che quelli archiviati. (Sezione 500.15, Crittografia delle informazioni non pubbliche).
    • Sezione 500.15, Crittografia delle informazioni non pubbliche.
      • (a) Come parte del suo programma di sicurezza informatica, sulla base delle valutazioni del rischio, ciascuna organizzazione coinvolta è tenuta ad implementare controlli adeguati, tra cui la crittografia, al fine di proteggere informazioni non pubbliche in possesso o trasmesse da tali organizzazioni coinvolte, sia nel caso di transito di tali informazioni su reti esterne, sia nel caso di informazioni archiviate a lungo termine, note come dati “at-rest”.
  • La normativa impone alle organizzazioni che trattano o detengono dati tramite cui è possibile identificare personalmente i cittadini di adottare un sicurezza adeguata a proteggere tali dati.
  • Le organizzazioni saranno tenute a inserire questi nuovi standard di crittografia dati all'interno dei propri contratti con fornitori di servizi terze parti. (Sezione 500.11 - Regolamento sulla sicurezza dei rapporti con fornitori di servizi terzi).
    • Le organizzazioni che fanno uso di un gran numero di fornitori di servizi, devono intraprendere azioni che confermino il rispetto degli obblighi di crittografia da parte di ogni singolo fornitore di servizi.
      • Sezione 500.11 Regolamento sulla sicurezza dei rapporti con fornitori di servizi terzi.
        • (2) include le procedure e le norme sulla crittografia applicabili ai fornitori di servizi terzi, in conformità alla sezione 500.11 di questa sezione, al fine di tutelare i dati non pubblici in transito e “at-rest”;

Queste novità interessano la mia azienda?

  • Sono tenute a conformarsi al dettato di questa normativa, tutte le aziende che operano nel campo dei servizi bancari, assicurativo e finanziario all'interno della città di New York e tutte quelle aziende che forniscono servizi a tali aziende.
  • La conformità per questi soggetti prevede in particolare l'obbligo di dotarsi di sistemi di sicurezza e crittografia adeguati a garantire la protezione dei dati.
  • La normativa impone alle organizzazioni che trattano o detengono dati tramite cui è possibile identificare personalmente i cittadini di adottare adeguate misure di sicurezza a protezione di tali dati.

Cosa deve fare la mia azienda per essere conforme?

  • Mappare i dispositivi e i prodotti interni ed esterni in cui sono archiviati i dati
    Registrare e richiedere l'attrezzatura utilizzata per l'azienda, da inserire nei propri regolamenti sulla sicurezza dei dati e assicurarsi che venga applicata la crittografia dei dati. Componenti dei sistemi aziendali che includono, ma non solo: server, hard drive, SSD, drive Flash USB, computer e dispositivi mobili.
  • Analisi dell'inventario
    Stimare la quantità totale dei dati personali.
  • Cancellazioni periodiche
    Eliminare dagli archivi i dati PII (Personally Identifiable Information - Informazioni che consentono l'individuazione delle persone) non più necessari.
  • Responsabili delle informazioni
    Esaminano i rischi contenuti nei regolamenti e nelle valutazioni di impatto.
  • Contratti
    Pensate al futuro della vostra azienda adottando da ora i regolamenti che diverranno obbligatori dopo l'effettiva entrata in vigore prevista per febbraio 2018
  • Violazione dei dati
    La normativa impone l'obbligo di notifica entro 72 ore.

Soluzione - Adottare politiche, standard tecnici e misure di sicurezza adeguati, come ad esempio la crittografia dei dati personali e delle informazioni che consentono l'identificazione personale (PII) per ridurre i rischi di non conformità. Ulteriori informazioni

Notifica di violazione

Le notifiche delle violazioni devono avvenire entro 72 ore dal momento in cui si è appreso della violazione, quando possibile, sebbene le notifiche non andranno effettuate alle Autorità di protezione dei dati qualora fossero a rischio i diritti o le libertà delle persone.

Diritti dei consumatori

Cosa si intende per PII - Personal Identifiable Information?

Gli acronimi PII (Personally Identifiable Information) o SPI (Sensitive Personal Information), così come vengono utilizzati nelle leggi sulla privacy statunitensi, si riferiscono alle informazioni che possono essere usate da sole o in combinazione con altri dati per contattare, individuare una persona o per identificare una persona all'interno di un contesto.

  • La Pubblicazione speciale NIST 800-122[4] definisce le PII come “qualunque informazione di natura personale in possesso di un'agenzia, incluse (1) tutte le informazioni utilizzabili per determinare l’identità personale di un utente, tra cui nome, codice fiscale, data e luogo di nascita, nome da nubile della madre o dati biometrici; e (2) qualunque altro tipo di informazione che sia direttamente collegato o indirettamente collegabile a un determinato utente, come i dati medici, sull’istruzione o quelli di natura finanziaria o sulla professione dell’utente”. (Per ulteriori informazioni, vedere: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
Diritti dei consumatori

Regolamento sulla sicurezza delle informazioni

(dal documento “Cybersecurity requirements for financial services companies”: https://www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf )

Ciascuna Organizzazione Coinvolta è tenuta a implementare e preservare un regolamento o regole scritte approvate da un dirigente superiore, oppure dal consiglio d’amministrazione dell’Organizzazione Coinvolta (oppure da un comitato appositamente preposto a tale funzione), oppure da un organo avente pari funzioni, al quale è affidato anche il compito di determinare le regole e le procedure di protezione dei sistemi informativi e delle informazioni non pubbliche custoditi nei sistemi informatici di tale Organizzazione Coinvolta e alla quale l’organizzazione si deve attenere.

CyberSecurity

(a) Sicurezza delle informazioni
(b) Governance e classificazione dei dati
(c) Inventario delle risorse e gestione dei dispositivi
(d) Controllo accessi e gestione identità
(e) Pianificazione e risorse per la continuità aziendale e i processi di disaster recovery
(f) Problematiche associate a operatività e disponibilità dei sistemi
(g) Sicurezza di rete e sistemi
(h) Monitoraggio di rete e sistemi
(i) Sviluppo e verifica qualità dei processi di sviluppo delle applicazioni e dei sistemi
(j) Controlli per la sicurezza fisica e ambientale
(k) Tutela della privacy dei clienti
(l) Gestione venditori e fornitori di servizi terzi
(m) Valutazione dei rischi
(n) Misure di risposta in caso di incidenti

Date principali relative al Cybersecurity Regulation di New York (23 NYCRR Part 500)

  • 1 marzo 2017 - Entrata in vigore della norma 23 NYCRR Part 500 del regolamento.
  • 28 agosto 2017 - Termine del periodo di transizione di 180 giorni. Salvo diversamente specificato, le Organizzazioni Coinvolte sono tenute a garantire la conformità con i requisiti normativi della norma 23 NYCRR Part 500.
  • 15 febbraio 2018 - in tale data, o in data precedente, le Organizzazioni Coinvolte sono tenute a inviare la prima certificazione di conformità alla norma 23 NYCRR 500.17(b).
  • 1 marzo 2018 - Termine del primo anno di transizione. Le Organizzazioni Coinvolte devono essere conformi con i requisiti delle sezioni 500.04(b), 500.05, 500.09, 500.12 e 500.14(b) della norma 23 NYCRR Part 500.
  • 3 settembre 2018 - Termine del periodo di transizione di diciotto mesi. Le Organizzazioni Coinvolte devono essere conformi con i requisiti delle sezioni 500.06, 500,08, 500.13, 500.14(a) e 500.15 della norma 23 NYCRR Part 500.
  • 1 marzo 2019 - Termine del secondo anno di transizione. Le Organizzazioni Coinvolte devono essere conformi con i requisiti della norma 23 NYCRR 500.11.