Requisitos de ciberseguridad del Departamento de Servicios Financieros del estado de Nueva York (NYDFS); sección 500 del título 23 de los Códigos, Reglas y Regulaciones de Nueva York (NYCRR)

¿Qué necesito saber?

Aspectos destacados

• Derivadas de los estándares NIST
• La propuesta de barrido mantendrá a los bancos, aseguradores y otras firmas de servicios financieros como las responsables de proteger los datos en tránsito y en reposo
• La propuesta exige que las organizaciones encripten datos confidenciales tanto en tránsito como en reposo
• Afecta a Wall Street y a alrededor de 1.900 empresas con $ 2,9 trillones (USD) en activos
• Regula quién es responsable de la violación, debe ser consiente y tener un plan de acción; lo lleva hasta la junta
• Las empresas necesitan definir criterios, tener una política de respuesta a incidentes, y actualizar la gestión de proveedores con estándares mínimos para realizar negocios con las instituciones financieras

Encriptación de datos

• Un dispositivo USB encriptado Kingston e Ironkey es una de las soluciones para estandarizar el cumplimiento del encriptado de datos
• La propuesta exige que las organizaciones encripten datos confidenciales tanto en tránsito como en reposo. (Sección 500.15 Encriptación de información no pública).
  • Sección 500.15 Encriptación de información no pública.
    • (a) Como parte de su programa de seguridad cibernética, en base a su Evaluación de riesgos, cada Entidad cubierta deberá implementar controles incluido el encriptado, para proteger la Información no pública retenida o transmitida por la Entidad cubierta, tanto en tránsito a través de redes externas, como en pausa.
• Requiere que las organizaciones que procesen o mantengan información de identificación personal implementen la seguridad adecuada para proteger contra la pérdida de datos personales.
• Se requerirá que las organizaciones incluyan estos estándares mejorados de encriptación de datos en sus contratos con proveedores de servicios de terceros. (Sección 500.11 Política de seguridad del proveedor de servicios de terceros).
  • Las organizaciones con un gran número de proveedores de servicios, ya que deben tomar medidas para confirmar la adherencia de cada proveedor de servicios a los requisitos de encriptación.
    • Sección 500.11 Política de seguridad del proveedor de servicios de terceros. Policy.
      • (2) las políticas y procedimientos del proveedor de servicios de terceros para el uso del encriptado según lo requerido por la sección 500.15 de esta parte para proteger la Información no pública en tránsito y en pausa;

¿Cómo afecta esto a mi negocio?

• Empresas dentro de la industria bancaria, de seguros y de otros servicios financieros en la ciudad de Nueva York, o si usted proporciona un servicio o está bajo contrato como proveedor de alguna de estas empresas, tendrá que seguir y estar sujeto a estas reglas también.
• Usted también tendrá cumplir con la regulación y las normas, relacionadas con tener los sistemas adecuados para la seguridad y encriptación del almacenamiento de datos de la información.
• Requiere que las organizaciones que procesen o mantengan información identificable personal implementen medidas de seguridad adecuadas para proteger contra la pérdida de datos personales.

¿Qué debe hacer mi negocio para cumplir?

• Identifique, registre y organice todos los productos internos y externos que almacenan datos.
  Registre y exija que el equipo usado por la empresa sea cubierto por su política de seguridad de datos y asegúrese de que se utilice encriptación de datos. Artículos tales como, pero no limitados a: servidores, discos duros, SSDs, dispositivos Flash USB, computadores y otros dispositivos móviles
• Análisis de inventario
  Evaluar la cantidad de datos personales en su totalidad.
• Purgar
  Eliminar archivos de información identificable personal (PII) innecesarios.
• Controladores de información
  Verifique los riesgos a la privacidad y las evaluaciones de impacto.
• Contratos
  Proteja a futuro su negocio al poner en sitio en este momento políticas que se convertirán en obligatorios después de la fecha efectiva de Febrero de 2018
• Violación de datos
  La regulación dicta un aviso dentro de las siguientes 72 horas.

Solución - Implemente las salva guardas, los estándares técnicos y políticas apropiadas, tales cómo, encriptación de datos para datos personales / información identificable personal (PII), para mitigar el riesgo de no cumplimiento. Aprenda más

Notificación de violaciones

Las notificaciones de violación de datos deben hacerse dentro de las 72 horas siguientes de saber de la violación, cuando sea posible, aunque la notificación no necesita ser hecha a la DPA si es poco posible que resulte en un riesgo para los derechos o las libertades de individuos.