(전면 시행일: 2018년 2월 15일 기업, 개인 데이터를 처리하는 뉴욕의 모든 조직에 적용되고 2018년 2월에 시행되며 입안하고 추진되는 데 180일이 걸립니다.

NYDFS - 23 NYCRR 500: 고려해야 하는 최상위 5가지 주요 영역:

규정을 준수해야 하는 5가지 주요 영역:

  1. 전송 중인 민감한 데이터 및 유휴 상태의 민감한 데이터를 모두 암호화합니다. (섹션 500.15 비공개 정보의 암호화.)
  2. 최고 정보 보안 책임자(CISO) 지명
  3. 사이버 보안 프로그램 확립
  4. 사이버 보안 정책 채택
  5. 제3자 서비스 제공업체 관리
    • 필수 사항:
      • 연례 침입 테스트
      • 연 2회 취약성 평가
New York State Seal

규정 미준수의 경우 처벌을 받습니까?

새로운 DFS 스킴에 따라 회사 임원진은 NY DFS 규정 준수 여부를 매년 검증해야 합니다.

  • 이러한 검증사항이 부정확한 것으로 입증되는 경우 이들은 이러한 위반 사항에 대해 은행, 보험사 및 기타 금융 서비스 회사에 이의를 제기하기 위해 DFS 또는 소비자에 근거를 제시할 수 있습니다. 해당 제안서에서는 해당 요건이 다음을 포함하는 "어떠한 해당 법규에서도" 시행되어야 함을 명시하고 있습니다.
    • 예: 뉴욕 은행법, 뉴욕 보험법
    • 여기에는 고의로 DFS에 허위 진술을 한 것에 대한 개별 민사 및 형사 상의 처벌을 받는 것이 포함됩니다
규정 미준수의 경우 처벌을 받습니까?

무엇을 알아야 합니까?

강조사항

  • NIST 표준에서 발췌
  • 종합 제안서에서는 은행, 보험사 및 기타 금융 서비스 회사에게 이동 및 유휴 데이터 보호에 대한 책임을 묻습니다
  • 해당 제안서에서는 조직이 전송 중인 민감한 데이터 및 유휴 상태의 민감한 데이터 모두에 대해 암호화하도록 요구합니다
  • 월스트리트와 자산액이 미화 2.9조 달러인 약 1,900개 회사들을 대상으로 시행
  • 위반 사항을 책임지는 규제 담당자는 인지 및 조치 계획을 갖춰야 하며, 이를 해당 위원회에 상정합니다
  • 회사는 기준을 정의해야 하고 사고 대응 정책을 갖춰야 하며 금융 기관과 거래를 하기 위해 최소한의 표준을 활용해 벤더 관리를 업데이트해야 합니다

데이터 암호화

  • Kingston 및 IronKey 암호화 USB 드라이브는 데이터 암호화 준수를 표준화할 수 있는 한 가지 해결책입니다.
  • 해당 제안서에서는 조직이 전송 중인 민감한 데이터 및 유휴 상태의 민감한 데이터 모두에 대해 암호화하도록 요구합니다. (섹션 500.15 비공개 정보의 암호화.)
    • 섹션 500.15 비공개 정보의 암호화.
      • (a) 사이버 보안 프로그램의 일환으로, 자체 위험 평가에 기반하여, 처리 기관을 통해 외부 네트워크를 거치는 모든 전송 중 및 유휴 상태의 비공개 정보를 보호하기 위해 각 처리 기관은 암호화를 포함한 통제를 시행해야 합니다.
  • 개인 데이터 손실을 보호하기 위해 적절한 보안 조치를 이행함에 있어 개인 식별 가능 정보를 처리하거나 보유하는 기관이 필요합니다.
  • 조직은 제3자 서비스 제공업체와 거래 시 향상된 데이터 암호화 표준을 포함시켜야 합니다. (섹션 500.11 제3자 서비스 제공업체 보안 정책.)
    • 수많은 서비스 제공업체가 있는 조직에서는 각 서비스 제공업체가 암호화 요건을 준수하는지 확인하기 위해 여러 단계를 거쳐야 합니다
      • 섹션 500.11 제3자 서비스 제공업체 보안 정책.
        • (2) 전송 중 및 유휴 상태의 비공개 정보 보호에 대한 해당 부분의 섹션 500. 15의 요구에 따른 암호화의 사용에 관한 제3자 서비스 제공업체의 정책 및 절차;

이는 제 비즈니스에 어떤 영향을 미칩니까?

  • 뉴욕시 내 은행, 보험 및 기타 금융 서비스 산업 내에서 비즈니스를 하거나 이러한 회사에 벤더로서 서비스 또는 계약과 관련해 종사하는 경우에도 이러한 규칙을 따라야하며 이러한 규칙의 영향을 받습니다.
  • 또한 정보 보안 및 데이터 저장 암호화와 관련해 올바른 시스템을 갖추는 데 있어 해당 규정과 규칙을 준수해야 합니다.
  • 개인 데이터 손실을 보호하기 위해 적절한 보안 조치를 이행함에 있어 개인 식별 가능 정보를 처리하거나 보유하는 기관이 필요합니다.

규정 준수를 위해 제 사업장에서는 무엇을 해야 합니까?

  • 데이터를 저장하는 내장, 외장 제품 / 장치 맵핑
    기록을 하고 사용된 회사 장비가 데이터 보안 정책을 따르도록 해야 하며 데이터 암호화를 활용하는지 확인합니다. 해당 품목에는 서버, 하드 드라이브, SSD, USB 플래시 드라이브, 컴퓨터 및 모바일 장치 등을 포함하지만 이에 국한되지 않습니다.
  • 재고 분석
    전체 개인 데이터 양 평가.
  • 제거
    불필요한 개인 식별 가능 정보(PII) 기록 제거.
  • 정보 관리자
    개인 정보 보호 위험 및 영향 평가 검토.
  • 계약
    2018년 2월 시행 이후 의무화되는 정책을 지금 제정하여 귀사 비즈니스의 미래 경쟁력을 갖추십시오
  • 데이터 위반
    72시간 내 안내가 필요한 규정.

해결책 - 규정 미준수 위험을 완화하기 위한 개인 데이터 / 개인 식별 가능 정보(PII)에 대한 데이터 암호 등 적절한 보호, 기술 표준 및 정책을 실행합니다. 자세한 내용 보기

위반 알림

개인의 권리 또는 자유에 위험을 초래할 가능성이 없을 경우, DPA에 알릴 필요가 없다 하더라도 실행 가능한 경우라면 해당 위반이 파악된지 72시간 내에 데이터 위반 알림이 이루어져야 합니다.

소비자 권리

개인 식별 가능 정보(PII)는 무엇입니까?

미국 개인 정보 보호법 및 정보 보안에 사용되는 개인 식별 가능 정보(PII) 또는 중요 개인 정보(SPI)는 자체적으로 사용되거나 개인을 식별하고 개인에게 연락을 하거나 위치를 찾을 때 또는 관계 속에서 개인을 식별하기 위해 다른 정보와 함께 사용될 수 있습니다.

  • NIST Special Publication 800-122 [4]는 PII를 "기관이 관리하는 개인에 관한 모든 정보로서, (1) 개인의 신원을 구별하거나 추적 할 수있는 정보(예: 이름, 사회 보장 번호, 날짜 및 출생지, 어머니의 성 또는 생체 인식 기록 및, (2) 의학적, 교육적, 재정적 및 고용 정보와 같이 개인과 관련되거나 관련될 수 있는 기타 정보"로 정의합니다. (자세한 정보: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
소비자 권리

사이버 보안 정책

("금융 서비스 회사에 대한 사이버 보안 요건" 문서에서 발췌: https://www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf )

각 처리 기관은 상위 기구 또는 처리 기관 이사회(또는 적절한 해당 위원회) 또는 동등한 관리기구가 승인한 서면 방침 또는 정책을 이행하고 유지하며, 해당 정보 시스템에 저장된 정보 시스템 및 비공개 정보 처리 기관의 정책 및 절차를 준수합니다.

CyberSecurity

(a) 정보 보안
(b) 데이터 관리 및 분류
(c) 재고 자산 및 장치 관리
(d) 제어 접근 및 신원 관리
(e) 비즈니스 지속성 및 재해 복구 계획 및 자원
(f) 시스템 운영 및 가용성 우려
(g) 시스템 및 네트워크 보안
(h) 시스템 및 네트워크 모니터링
(i) 시스템 및 애플리케이션 개발 및 품질 보증
(j) 물리적 보안 및 환경적 통제
(k) 고객 데이터 보안
(l) 벤더 및 제3자 서비스 제공업자 관리
(m) 위험 평가
(n) 사고 대응

뉴욕 사이버 보안 규정 내 핵심 날짜(23 NYCRR Part 500)

  • 2017년 3월 1일 - 23 NYCRR Part 500 발효됨.
  • 2017년 8월 28일 - 180일 전환 기간 종료. 처리 기관은 달리 명시되지 않는 한 23 NYCRR Part 500의 요구 사항을 준수해야 합니다.
  • 2018년 2월 15일 - 처리 기관은 해당 날짜 이전에 23 NYCRR 500.17(b)에 의거하여 최초 인증을 제출해야 합니다.
  • 2018년 3월 1일 - 1년 전환 기간 종료. 처리 기관은 23 NYCRR Part 500의 섹션 500.04(b), 500.05, 500.09, 500.12 및 500.14(b)의 요구 사항을 준수해야 합니다.
  • 2018년 9월 3일 - 18개월 전환 기간 종료. 처리 기관은 23 NYCRR Part 500.15의 500.06, 500.08, 500.13, 500.14(a) 및 500.15의 요구 사항을 준수해야 합니다.
  • 2019년 3월 1일 - 2년 전환 기간 종료. 처리 기관은 23 NYCRR 500.11의 요구사항을 준수해야 합니다.