(Data pełnego wejścia w życie: 15 lutego 2018 r.) Dotyczy każdej organizacji w stanie Nowy Jork, która przetwarza dane przedsiębiorstw / osobowe i wejdzie w życie w lutym 2018 roku. Wdrażanie potrwa 180 dni.

NYDFS - 23 NYCRR 500: Pięć najważniejszych punktów, o których należy pamiętać:

Pięć najważniejsze obszary nowych wymagań:

  1. Szyfrowanie danych wrażliwych – w trakcie tranzytu i przechowywania. (Sekcja 500.15, Szyfrowanie danych niepublicznych)
  2. Wyznaczenie głównego inspektora bezpieczeństwa informacji
  3. Wdrożenie programu cyberbezpieczeństwa
  4. Przyjęcie polityki cyberbezpieczeństwa
  5. Zarządzanie usługodawcami zewnętrznymi
    • Obejmuje następujące wymagania:
      • Coroczne testy penetracyjne
      • Wykonywane co pół roku oceny narażenia
New York State Seal

Czy za niezapewnienie zgodności grożą kary?

Zgodnie z nową regulacją Departamentu Obsługi Finansowej dyrektorzy przedsiębiorstw mają obowiązek poświadczać zgodność z tymi przepisami co rok.

  • Jeśli poświadczenie takie okaże się błędne, Departament lub konsumenci muszą otrzymać dostęp do materiałów umożliwiającym im wnoszenie roszczeń przeciwko bankom, ubezpieczycielom i innym firmom świadczącym usługi finansowe w związku z naruszeniem wymagań dotyczących poświadczeń. W propozycji zaznaczono, że jej wymagania będą egzekwowane na mocy dowolnych obowiązujących przepisów ustawowych, takich jak
    • np. Prawo bankowe stanu Nowy Jork lub Prawo ubezpieczeniowe stanu Nowy Jork.
    • Określają one indywidulane sankcje cywilne i prawne za celowe składanie fałszywych oświadczeń w Departamencie Obsługi Finansowej.
Czy za niezapewnienie zgodności grożą kary?

Co należy wiedzieć?

Najważniejsze informacje

  • Opracowane na podstawie standardów NIST
  • Ta radykalna propozycja oznacza, że banki, ubezpieczyciele i inne firmy świadczące usługi finansowe będą ponosiły szeroką odpowiedzialność za zapewnienie ochrony danych w trakcie tranzytu i przechowywania.
  • W propozycji wzywa się organizacje do szyfrowania danych wrażliwych – w trakcie tranzytu i ich przechowywania.
  • Dotyczy spółek notowanych na Wall Street i około 1.900 przedsiębiorstw o aktywach wartych 2,9 bilionów dolarów.
  • Reguluje odpowiedzialność za naruszenia ochrony danych, nakłada obowiązek posiadania wiedzy i opracowania planu działań; przenosi ją na poziom zarządu.
  • Aby współpracować z instytucjami finansowymi, przedsiębiorstwa są zobowiązane określić kryteria, opracować politykę reakcji na incydenty oraz zaktualizować procedury zarządzania dostawcami z zachowaniem minimalnych standardów.

Szyfrowanie danych

  • Szyfrowana pamięć USB marki Kingston i IronKey to jedno z rozwiązań pozwalających wprowadzić jednolite standardy szyfrowania danych.
  • W propozycji wzywa się organizacje do szyfrowania danych wrażliwych – w trakcie tranzytu i ich przechowywania. (Sekcja 500.15, Szyfrowanie danych niepublicznych)
    • (Sekcja 500.15, Szyfrowanie danych niepublicznych)
      • (a) W ramach bazującego na ocenie ryzyka programu cyberbezpieczeństwa każdy podmiot objęty tymi przepisami ma obowiązek wdrożyć środki kontroli, a w tym szyfrowanie pozwalające chronić informacje niepubliczne posiadane lub przekazywane przez taki podmiot, zarówno podczas tranzytu przez sieci zewnętrzne, jak i w trakcie ich przechowywania.
  • Organizacje przetwarzające lub przechowujące informacje identyfikowalne osobowo są zobowiązane do wdrożenia odpowiednich środków zabezpieczających, zapobiegających utracie danych osobowych.
  • Organizacje mają obowiązek uwzględniać te poprawione standardy szyfrowania danych w umowach zawieranych z zewnętrznymi usługodawcami. (Sekcja 500.11, Polityka bezpieczeństwa zewnętrznych usługodawców)
    • Organizacje współpracujące z wieloma usługodawcami są zobowiązane do podejmowania działań w celu potwierdzenia, że każdy z usługodawców spełnia wymagania z zakresu szyfrowania danych.
      • Sekcja 500.11, Polityka bezpieczeństwa zewnętrznych usługodawców
        • (2) Polityki i procedury usługodawców zewnętrznych dotyczące wykorzystania szyfrowania zgodnie z wymogami Sekcji 500.15 tej Części w celu zapewnienia ochrony danych niepublicznych w trakcie tranzytu i przechowywania.

Jak to wpływa na moją firmę?

  • Firmy prowadzące działalność w branży bankowej, ubezpieczeniowej lub usług finansowych w Nowym Jorku lub świadczące usługi na mocy umowy z firmami z tych branż także mają obowiązek przestrzegać tych zasad.
  • Zapewnienie zgodności z regulacją i zasadami wymaga wdrożenia odpowiednich systemów zabezpieczeń i szyfrowania magazynów danych.
  • Organizacje przetwarzające lub przechowujące informacje identyfikowalne osobowo są zobowiązane do wdrożenia odpowiednich środków zabezpieczających, zapobiegających utracie danych osobowych.

Jak można zapewnić zgodność?

  • Sporządzenie mapy wewnętrznych i zewnętrznych produktów / urządzeń przechowujących dane
    Należy prowadzić rejestr urządzeń wykorzystywanych w przedsiębiorstwie do przechowywania danych, szyfrować te dane oraz objąć wspomniane urządzenia polityką bezpieczeństwa danych. Dotyczy to między innymi: serwerów, dysków twardych, dysków SSD, pamięci flash USB, komputerów i urządzeń mobilnych.
  • Inwentaryzacja
    Należy ocenić ilość wszystkich przetwarzanych danych osobowych.
  • Likwidacja danych
    Należy usunąć archiwa niepotrzebnych informacji identyfikowalnych osobowo.
  • Administratorzy informacji
    Należy przeanalizować zagrożenia dla prywatności i wykonać oceny skutków.
  • Umowy
    Już teraz można zapewnić sobie zgodność z przepisami wchodzącymi w życie w lutym 2018 – wystarczy wdrożyć odpowiednie polityki.
  • Naruszenie ochrony danych
    Regulacja wymaga poinformowania o naruszeniu w ciągu 72 godzin.

Rozwiązanie - wdrożenie odpowiednich zabezpieczeń, standardów technicznych i polityk, takich jak szyfrowanie danych osobowych / informacji identyfikowalnych osobowo w celu ograniczenia ryzyka wystąpienia braku zgodności. Więcej

Powiadomienie o naruszeniu ochrony danych

Jeśli to możliwe, powiadomienia o naruszeniu ochrony danych należy przedstawiać w ciągu 72 godzin od stwierdzenia naruszania. Nie ma obowiązku powiadamiania organów ochrony danych, jeśli prawdopodobieństwo, że naruszenie spowoduje zagrożenie praw lub wolności osób, jest niskie.

Prawa konsumentów

Czym są informacje identyfikowalne osobowo?

Terminy „informacje identyfikowalne osobowo” lub „sensytywne dane osobowe” stosowane w amerykańskim prawodawstwie z zakresu ochrony danych osobowych i bezpieczeństwa informacji dotyczą informacji, które mogą samodzielnie lub w połączeniu z innymi informacjami posłużyć do zidentyfikowania, nawiązania kontaktu lub zlokalizowania pojedynczej osoby lub zidentyfikowania osoby w pewnym kontekście.

  • Specjalna publikacja NIST 800-122[4] definiuje informacje identyfikowalne osobowo jako „dowolne informacje o osobie przechowywane przez organ, a w tym między innymi (1) dowolne informacje, które można wykorzystać do rozpoznania bądź odnalezienia tożsamości osoby, np. imię i nazwisko, numer ubezpieczenia społecznego, data i miejsce urodzenia, nazwisko panieńskie matki lub dane biometryczne oraz (2) dowolne inne informacje, które są powiązane lub które można powiązać z osobą, np. medyczne, finansowe, dotyczące wykształcenia lub zatrudnienia”. (Więcej informacji: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
Prawa konsumentów

Polityka cyberbezpieczeństwa

(z dokumentu „Cybersecurity requirements for financial services companies”: https://www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf

Każdy podmiot objęty tymi przepisami ma obowiązek wdrożyć i utrzymać pisemną politykę lub polityki zatwierdzone przez członka kierownictwa wyższego szczebla lub radę dyrektorów podmiotu (lub jego właściwą komisję) bądź inny odpowiedni organ zarządzający. Polityki takie muszą określać zasady i procedury stosowane przez podmiot objęty tymi przepisami dotyczące ochrony jego systemów informacyjnych i informacji niepublicznych przechowywanych w takich systemach informacyjnych.

CyberSecurity

(a) bezpieczeństwo informacji
(b) opieka nad danymi i ich klasyfikacja
(c) inwentaryzacja środków i zarządzanie urządzeniami
(d) środki kontroli dostępu i zarządzanie tożsamościami
(e) plany i zasoby pozwalające zachować ciągłość działalności i przywrócić sprawność systemów po awarii
(f) kwestie związane z działaniem i dostępnością systemów
(g) bezpieczeństwo systemów i sieci
(h) monitorowanie systemów i sieci
(i) rozwój i zapewnianie jakości systemów i aplikacji
(j) środki kontroli bezpieczeństwa fizycznego i otoczenia
(k) poufność danych klientów
(l) zarządzanie dostawcami i zewnętrznymi usługodawcami
(m) ocena ryzyka
(n) reagowanie na incydenty

Najważniejsze daty związane z Regulacją dotyczącą cyberbezpieczeństwa w stanie Nowy Jork (23 NYCRR Part 500)

  • 1 marca 2017 r. - wchodzi w życie 23 NYCRR Część 500
  • 28 sierpnia 2017 r. - koniec 180-dniowego okresu przejściowego. Jeśli przepisy nie stanowią inaczej, podmioty objęte tymi przepisami mają obowiązek zapewnić zgodność z wymaganiami regulacji 23 NYCRR Część 500.
  • 15 lutego 2018 r. - nie później niż tego dnia podmioty objęte tymi przepisami są zobowiązane przedłożyć pierwszą certyfikację zgodnie z sekcją 23 NYCRR 500.17(b).
  • 1 marca 2018 r. - koniec jednorocznego okresu przejściowego. Podmioty objęte tymi przepisami mają obowiązek zapewnić zgodność z wymaganiami sekcji 500.04(b), 500.05, 500.09, 500.12 i 500.14(b) regulacji 23 NYCRR Część 500.
  • 3 września 2018 r. - koniec półtorarocznego okresu przejściowego. Podmioty objęte tymi przepisami mają obowiązek zapewnić zgodność z wymaganiami sekcji 500.06, 500.08, 500.13, 500.14(a) i 500.15 regulacji 23 NYCRR Część 500.
  • 1 marca 2019 r. - koniec dwuletniego okresu przejściowego. Podmioty objęte tymi przepisami mają obowiązek zapewnić zgodność z wymaganiami regulacji 23 NYCRR 500.11.