DEPARTAMENTO DE SERVIÇOS FINANCEIROS DO ESTADO DE NOVA YORK 23 NYCRR 500

(Em vigor: 15 de fevereiro de 2018) Aplica-se a todas as organizações em Nova York que processam dados pessoais / corporativos; entrará em vigor em fevereiro de 2018 com 180 dias para implementação.

Requisitos de segurança cibernética do New York State Department Of Financial Services 23 NYCRR 500

REQUISITOS DE SEGURANÇA CIBERNÉTICA PARA EMPRESAS DE SERVIÇOS FINANCEIROS

Mantenha a conformidade com a Kingston

Gerencie ameaças e reduza riscos

As opções disponíveis cobrem todas as necessidades, desde pessoais, corporativas até governamentais.

100% em conformidade no armazenamento em pendrive criptografado
Simples, fácil de usar, não necessita de software ou drivers
Projetado para implantação rápida e eficiente

NYDFS - 23 NYCRR 500: As 5 principais áreas para se ter cuidado:

5 principais áreas para garantir sua conformidade:

Criptografar dados confidenciais em trânsito e estáticos. (Seção 500.15 Criptografia de Informações Não Públicas.)
Indicar um Diretor de Segurança de Informações (CISO)
Estabelecer um Programa de Segurança Cibernética
Adotar uma Política de Segurança Cibernética
Administrar prestadores de serviços terceirizados
- Inclui os obrigatórios:
  - Testes de penetração anuais
  - Avaliações de vulnerabilidade bianuais

Existe alguma penalidade pela não conformidade?

Sob o novo esquema DFS, os executivos das empresas devem confirmar a conformidade com os regulamentos NY DFS anualmente.

Se estes certificados demonstrarem estar incorretos, eles podem fornecer as bases para que o DFS ou os consumidores apresentem ações contra bancos, seguradoras e outras firmas de serviços financeiros por violação desses certificados. A proposta observa que seus requisitos deverão ser cumpridos "sob quaisquer leis aplicáveis", o que inclui,
- por exemplo, a lei de Serviços Bancários de Nova York e a Lei de Seguros de Nova York
- Elas contêm penalidades individuais civis e criminais por fazer declarações falsas intencionalmente ao DFS

Existe alguma penalidade pela não conformidade?

O que eu preciso saber?

Destaques

Derivados dos padrões NIST
Proposta abrangente com bancos detentores, seguradoras e outras firmas de serviços financeiros estritamente responsáveis por proteger dados em trânsito e estáticos
As propostas para as organizações criptografarem dados confidenciais em trânsito e estáticas.
Fundos de Wall Street e cerca de 1.900 empresas com $2,9 trilhões (USD) em ativos
Regula quem é responsável pela violação, conscientização obrigatória e plano de ação; chegar até a diretoria
As empresas precisam definir critérios, possuir uma política de resposta a incidentes e atualizar a gestão de fornecedores com padrões mínimos para fazer negócios com as instituições financeiras

Criptografia de dados

Um pendrive criptografado Ironkey e Kingston é uma das soluções para atender os padrões de conformidade com a criptografia de dados
A proposta solicita que as organizações criptografem dados confidenciais em trânsito e estáticos. (Seção 500.15 Criptografia de Informações Não Públicas.)
- Seção 500.15 Criptografia de Informações Não Públicas.
  - (a) Como parte de seu programa de segurança cibernética, com base em sua avaliação de risco, cada entidade envolvida deve implementar controles, incluindo a criptografia, para proteger informações não públicas mantidas ou transmitidas pela Entidade envolvida, tanto em trânsito quanto em redes externas estáticas.
Requer que as organizações que processam ou mantém informações pessoalmente identificáveis implementem medidas de segurança adequadas para proteção contra a perda de dados pessoais.
As organizações serão solicitadas a incluir esses padrões aperfeiçoados de processamento de dados em seus contratos com prestadores de serviço terceirizados. (Seção 500.11 Política de Segurança de Prestadores de Serviço Terceirizados).
- Organizações com grande número de prestadores de serviços devem tomar providências para confirmar a adesão de cada prestador de serviços à exigência de criptografia.
  - Seção 500.11 Política de Segurança de Prestadores de Serviço Terceirizados.
    - (2) as políticas e procedimentos do Prestador de serviços terceirizado para uso de criptografia conforme exigido na seção 500.15 desta Parte para proteger informações não públicas em trânsito e estáticas;

Como isso afeta minha empresa?

As empresas do setor bancário, de seguros e de outros serviços financeiros dentro da Cidade de Nova York ou se você fornecer um serviço ou tiver um contrato como fornecedor a firmas desse setor, você também precisará seguir e cumprir essas regras.
Você também precisará estar em conformidade com os regulamentos e regras sobre ter os sistemas certos em vigor para a segurança e a criptografia de informações no armazenamento de dados.
Requer que as organizações que processam ou mantém informações pessoalmente identificáveis implementem medidas de segurança adequadas para proteção contra a perda de dados pessoais.

O que minha empresa deve fazer para ficar em conformidade?

Mapear produtos / dispositivos internos e externos que armazenam dados
Registrar e exigir que seja usado equipamento da empresa, para estar coberto por sua política de segurança de dados e assegurar que seja utilizada a criptografia de dados. Itens podem incluir, mas não se limitam a: servidores, discos rígidos, SSDs, pendrives, computadores e dispositivos móveis.
Análise do inventário
Avalie o montante de dados pessoais em sua totalidade.
Limpeza
Elimine arquivos de informações pessoalmente identificáveis (PII) desnecessários.
Controladores de informações
Reveja o risco à privacidade e as avaliações de impacto.
Contratos
Proteja o futuro de sua empresa estabelecendo políticas agora que se tornem obrigatórias após seu início efetivo em fevereiro de 2018 8
Violações de dados
Os regulamentos requerem aviso em 72 horas.

Solução -Implementar proteções, padrões técnicos e políticas apropriadas como criptografia de dados pessoais / informações pessoalmente identificáveis (PII) para minimizar o risco de não conformidade.Saiba mais

Notificação de violação

Notificações de violações de dados devem ser executadas até 72 horas depois do conhecimento da violação, onde possível, embora a notificação não precise ser feita para o DPA se for improvável que resulte em risco para os direitos ou liberdades dos indivíduos.

Direitos do consumidor

O que são Informações Pessoalmente Identificáveis (PII)?

Informações pessoalmente identificáveis (PII) ou Informações Pessoais Reservadas (SPI), como usadas nas leis de privacidade e segurança das informações dos EUA, são informações que podem ser usadas sozinhas ou conjugadas a outras informações para identificar, contatar ou localizar uma pessoa ou para identificar um indivíduo em um contexto.

A publicação especial do NIST (NIST Special Publication) 800-122[4] define PII como “qualquer informação sobre um indivíduo mantida por um órgão, incluindo, (1) qualquer informação que possa ser usada para distinguir ou rastrear a identidade de um indivíduo, como um nome, número de seguro social, data e local de nascimento, nome de solteira da mãe ou registros biométricos e (2) qualquer outra informação que seja ou possa ser relacionada a um indivíduo, como informações médicas, educacionais, financeiras e empregatícias." (Para mais informações: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )

Política de segurança cibernética

(Do documento “Exigências de segurança cibernética para empresas de serviços financeiros": https://www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf )

Todas as Entidades envolvidas devem implementar e manter política ou políticas por escrito, aprovadas por um Diretor Sênior ou pelo Conselho Diretor da Entidade envolvida (ou um comitê apropriado indicado por ele) ou corpo diretivo equivalente, estabelecendo as políticas e procedimentos da Entidade envolvida para a proteção dos Sistemas de informação e informações não públicas armazenadas nestes sistemas de informação.

(a) segurança das informações
(b) governança e classificação de dados
(c) inventário dos ativos e gerenciamento dos dispositivos
(d) controles de acesso e gerenciamento de identidades
(e) planejamento e recursos para a continuidade dos negócios e recuperação de desastres
(f) preocupação com as operações e disponibilidade dos sistemas
(g) segurança dos sistemas e da rede
(h) monitoramento dos sistemas e da rede
(i) desenvolvimento e garantia de qualidade de sistemas e aplicativos
(j) segurança física e controles ambientais
(k) privacidade de dados do cliente
(l) gerenciamento de fornecedores e prestadores de serviços terceirizados
(m) avaliação de riscos
(n) resposta a incidentes

Datas chave sob a regulamentação de segurança cibernética de Nova York (NYCRR 23 Parte 500)

1º de março de 2017 - 23 NYCRR Parte 500 entra em vigor
28 de agosto de 2017 - fim do período de transição de 180 dias As entidades envolvidas são obrigadas a estar em conformidade com as exigências da 23 NYCRR Parte 500 salvo especificado de outra forma.
15 de fevereiro de 2018 - As entidades envolvidas são obrigadas a apresentar o primeiro certificado sob a 23 NYCRR 500.17(b) em ou antes desta data.
1º de março de 2018 - Fim do período de transição de um ano. As entidades envolvidas são obrigadas a estar em conformidade com as exigências das seções 500.04(b), 500.05, 500.09, 500.12 e 500.14(b) da 23 NYCRR Parte 500.

3 de setembro de 2018 - Fim do período de transição de dezoito meses. As entidades envolvidas são obrigadas a estar em conformidade com as exigências das seções 500.06, 500.08, 500.13, 500.14(a) e 500.15 da 23 NYCRR Parte 500.
1º de março de 2019 - Fim do período de transição de dois anos. As entidades envolvidas são obrigadas a estar em conformidade com as exigências da 23 NYCRR Parte 500.11.

Mais informações

Saiba mais Encrypted USB Drive - Kingston Technology

DataTraveler Vault Privacy 3.0 - 16GB

Proteja as informações confidenciais da sua empresa.

Certificado FIPS 197

Saiba mais
DataTraveler Vault Privacy 3.0 - 32GB

Proteja as informações confidenciais da sua empresa.

Certificado FIPS 197

Saiba mais
DataTraveler Vault Privacy 3.0 - 4GB

Proteja as informações confidenciais da sua empresa.

Certificado FIPS 197

Saiba mais
DataTraveler Vault Privacy 3.0 - 64GB

Proteja as informações confidenciais da sua empresa.

Certificado FIPS 197

Saiba mais
DataTraveler Vault Privacy 3.0 - 8GB

Proteja as informações confidenciais da sua empresa.

Certificado FIPS 197

Saiba mais
IKD300S - 128GB

IronKey D300 Serialized Standard
IKD300S - 16GB

IronKey D300 Serialized Standard
IKD300S - 32GB

IronKey D300 Serialized Standard
IKD300S - 4GB

IronKey D300 Serialized Standard
IKD300S - 64GB

IronKey D300 Serialized Standard
IKD300S - 8GB

IronKey D300 Serialized Standard
IKS1000E - 128GB

IronKey S1000 Enterprise

Saiba mais
IKS1000E - 16GB

IronKey S1000 Enterprise

Saiba mais
IKS1000E - 32GB

IronKey S1000 Enterprise

Saiba mais
IKS1000E - 4GB

IronKey S1000 Enterprise

Saiba mais
IKS1000E - 64GB

IronKey S1000 Enterprise

Saiba mais
IKS1000E - 8GB

IronKey S1000 Enterprise

Saiba mais
IronKey S1000 - 128GB

Segurança de dados inflexível.

Cryptochip integrado no dispositivo e certificado FIPS 140-2 Nível 3

Saiba mais
IronKey S1000 - 16GB

Segurança de dados inflexível.

Cryptochip integrado no dispositivo e certificado FIPS 140-2 Nível 3

Saiba mais
IronKey S1000 - 32GB

Segurança de dados inflexível.

Cryptochip integrado no dispositivo e certificado FIPS 140-2 Nível 3

Saiba mais
IronKey S1000 - 4GB

Segurança de dados inflexível.

Cryptochip integrado no dispositivo e certificado FIPS 140-2 Nível 3

Saiba mais
IronKey S1000 - 64GB

Segurança de dados inflexível.

Cryptochip integrado no dispositivo e certificado FIPS 140-2 Nível 3

Saiba mais
IronKey S1000 - 8GB

Segurança de dados inflexível.

Cryptochip integrado no dispositivo e certificado FIPS 140-2 Nível 3

Saiba mais