(Efectiva completamente: 15 de febrero de 2018) Aplica para todas las organizaciones en Nueva York que procesan datos corporativos/personales, entrarán en vigor en febrero de 2018 con 180 días para su implementación.
DEPARTAMENTO ESTATAL DE SERVICIOS FINANCIEROS DE NUEVA YORK 23 NYCRR 500
dic. 2018
Requisitos de ciberseguridad del Departamento de Servicios Financieros del estado de Nueva York (NYDFS); sección 500 del título 23 de los Códigos, Reglas y Regulaciones de Nueva York (NYCRR)
REQUERIMIENTOS DE CÍBER-SEGURIDAD PARA COMPAÑÍAS DE SERVICIOS FINANCIEROS
Manténgase en cumplimiento con Kingston
Gestione amenazas y maneje riesgos
Las opciones disponibles cubren cada necesidad desde personal, a corporativa, a gubernamental.
- Almacenamiento de datos en USB encriptados que cumple 100%
- Simple, fácil de usar, no se necesita software o drivers
- Diseñado para un despliegue rápido y eficiente
NYDFS - 23 NYCRR 500: Las 5 áreas principales para tener en cuenta:
5 áreas principales para asegurarse que usted cumple:
- Encriptar datos confidenciales tanto en tránsito como en reposo. (Sección 500.15 Encriptación de información no pública).
- Designar a oficiales de protección de datos (OPDs)
- Establezca un programa de cíber-seguridad
- Adopte una política de cíber-seguridad
- Gestione proveedores de servicios de terceros
- Incluye las requeridas:
- Pruebas de penetración anuales
- Evaluaciones de vulnerabilidad dos veces al año
- Incluye las requeridas:
¿Hay alguna penalidad por el no cumplimiento?
Bajo el nuevo esquema del DFS, los ejecutivos de la compañía deben certificar el cumplimiento con las regulaciones DFS de Nueva York sobre una base anual.
- Si estas certificaciones resultaran incorrectas, podrían proporcionar la base para que el DFS o los consumidores presenten reclamos contra bancos, aseguradores y otras firmas de servicios financieros por el incumplimiento de tal certificación. La propuesta señala que sus requerimientos se ejecutarán "en virtud de cualquier legislación aplicable", que incluye leyes:
- Por ejemplo, Ley de Bancos de Nueva York, Ley de Seguros de Nueva York
- Que contengan sanciones individuales civiles y criminales por hacer declaraciones falsas intencionalmente al DFS
¿Qué necesito saber?
Aspectos destacados
- Derivadas de los estándares NIST
- La propuesta de barrido mantendrá a los bancos, aseguradores y otras firmas de servicios financieros como las responsables de proteger los datos en tránsito y en reposo
- La propuesta exige que las organizaciones encripten datos confidenciales tanto en tránsito como en reposo
- Afecta a Wall Street y a alrededor de 1.900 empresas con $ 2,9 trillones (USD) en activos
- Regula quién es responsable de la violación, debe ser consiente y tener un plan de acción; lo lleva hasta la junta
- Las empresas necesitan definir criterios, tener una política de respuesta a incidentes, y actualizar la gestión de proveedores con estándares mínimos para realizar negocios con las instituciones financieras
Encriptación de datos
- Un dispositivo USB encriptado Kingston e Ironkey es una de las soluciones para estandarizar el cumplimiento del encriptado de datos
- La propuesta exige que las organizaciones encripten datos confidenciales tanto en tránsito como en reposo. (Sección 500.15 Encriptación de información no pública).
- Sección 500.15 Encriptación de información no pública.
- (a) Como parte de su programa de seguridad cibernética, en base a su Evaluación de riesgos, cada Entidad cubierta deberá implementar controles incluido el encriptado, para proteger la Información no pública retenida o transmitida por la Entidad cubierta, tanto en tránsito a través de redes externas, como en pausa.
- Sección 500.15 Encriptación de información no pública.
- Requiere que las organizaciones que procesen o mantengan información de identificación personal implementen la seguridad adecuada para proteger contra la pérdida de datos personales.
- Se requerirá que las organizaciones incluyan estos estándares mejorados de encriptación de datos en sus contratos con proveedores de servicios de terceros. (Sección 500.11 Política de seguridad del proveedor de servicios de terceros).
- Las organizaciones con un gran número de proveedores de servicios, ya que deben tomar medidas para confirmar la adherencia de cada proveedor de servicios a los requisitos de encriptación.
- Sección 500.11 Política de seguridad del proveedor de servicios de terceros. Policy.
- (2) las políticas y procedimientos del proveedor de servicios de terceros para el uso del encriptado según lo requerido por la sección 500.15 de esta parte para proteger la Información no pública en tránsito y en pausa;
- Sección 500.11 Política de seguridad del proveedor de servicios de terceros. Policy.
- Las organizaciones con un gran número de proveedores de servicios, ya que deben tomar medidas para confirmar la adherencia de cada proveedor de servicios a los requisitos de encriptación.
¿Cómo afecta esto a mi negocio?
- Empresas dentro de la industria bancaria, de seguros y de otros servicios financieros en la ciudad de Nueva York, o si usted proporciona un servicio o está bajo contrato como proveedor de alguna de estas empresas, tendrá que seguir y estar sujeto a estas reglas también.
- Usted también tendrá cumplir con la regulación y las normas, relacionadas con tener los sistemas adecuados para la seguridad y encriptación del almacenamiento de datos de la información.
- Requiere que las organizaciones que procesen o mantengan información identificable personal implementen medidas de seguridad adecuadas para proteger contra la pérdida de datos personales.
¿Qué debe hacer mi negocio para cumplir?
- Identifique, registre y organice todos los productos internos y externos que almacenan datos.
Registre y exija que el equipo usado por la empresa sea cubierto por su política de seguridad de datos y asegúrese de que se utilice encriptación de datos. Artículos tales como, pero no limitados a: servidores, discos duros, SSDs, dispositivos Flash USB, computadores y otros dispositivos móviles - Análisis de inventario
Evaluar la cantidad de datos personales en su totalidad. - Purgar
Eliminar archivos de información identificable personal (PII) innecesarios. - Controladores de información
Verifique los riesgos a la privacidad y las evaluaciones de impacto. - Contratos
Proteja a futuro su negocio al poner en sitio en este momento políticas que se convertirán en obligatorios después de la fecha efectiva de Febrero de 2018 - Violación de datos
La regulación dicta un aviso dentro de las siguientes 72 horas.
Solución - Implemente las salva guardas, los estándares técnicos y políticas apropiadas, tales cómo, encriptación de datos para datos personales / información identificable personal (PII), para mitigar el riesgo de no cumplimiento. Aprenda más
Notificación de violaciones
Las notificaciones de violación de datos deben hacerse dentro de las 72 horas siguientes de saber de la violación, cuando sea posible, aunque la notificación no necesita ser hecha a la DPA si es poco posible que resulte en un riesgo para los derechos o las libertades de individuos.
Derechos del consumidor
¿Cuál es la información identificable personal (PII)?
La información identificable personal (PII), o información personal sensitiva (SPI), como es referida en la ley de privacidad de EE.UU. e información de seguridad, es información que puede ser usada de forma independiente o junto a otra información para identificar, contactar, o localizar a un individuo, o para identificar a un individuo en un contexto.
- La Publicación Especial 800-122[4] del NIST define la PII como "toda información sobre un individuo guardada por una agencia, que incluye, (1) cualquier información que pueda usarse para distinguir o rastrear la identidad de un individuo, como nombre, número de seguro social, fecha y lugar de nacimiento, apellido de soltera de la madre o registros biométricos; y, (2) cualquier otra información que esté vinculada o sea vinculable a un individuo, como información médica, educativa, financiera y de empleo ". (Para mayor información: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
Política de cíber-seguridad
(Obtenido del documento “Requerimientos de cíber-seguridad para compañías de servicios financieros”: https://www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf )
Cada Entidad cubierta deberá implementar y mantener una política o políticas escritas, aprobadas por un alto directivo o la junta directiva de la Entidad cubierta (o un comité apropiado de la misma) o un órgano de gobierno equivalente, estableciendo las políticas y procedimientos de la Entidad cubierta para la protección de su Sistemas de información e Información no pública almacenados en esos sistemas de información.
(a) seguridad de la Información
(b) gobernanza y clasificación de datos
(c) inventario de activos y administración de dispositivos
(d) controles de acceso y gestión de identidad
(e) continuidad del negocio y planificación de recuperación de desastres y recursos
(f) operaciones de sistemas y problemas de disponibilidad
(g) sistemas y seguridad de la red
(h) sistemas y monitoreo de red
(i) sistemas y desarrollo de aplicaciones y garantía de calidad
(j) seguridad física y controles ambientales
(k) privacidad de los datos del cliente
(l) manejo del distribuidor y del proveedor de servicios de terceros
(m) evaluación de riesgos
(n) respuesta ante incidentes
Fechas claves bajo la regulación de cíber-seguridad de Nueva York (23 NYCRR Parte 500)
- 1 de marzo, 2017 - 23 NYCRR Parte 500 entra en vigencia.
- 28 de agosto, 2017 - finaliza el período de transición de 180 días. Se requiere que las Entidades cubiertas cumplan con los requisitos de la 23 NYCRR Parte 500 a menos que se especifique lo contrario.
- 15 de febrero, 2018 - las Entidades cubiertas deben presentar la primera certificación conforme a la 23 NYCRR 500.17 (b) en esta fecha o antes.
- 1 de marzo, 2018 - finaliza el período de transición de un año. Se requiere que las Entidades cubiertas cumplan con los requisitos de las secciones 500.04 (b), 500.05, 500.09, 500.12 y 500.14 (b) de la 23 NYCRR Parte 500.
- 3 de Septiembre, 2018 - finaliza el período de transición de dieciocho meses. Se requiere que las Entidades cubiertas cumplan con los requisitos de las secciones 500.06, 500.08, 500.13, 500.14(a) y 500.15 (b) de la 23 NYCRR Parte 500.
- 1 de marzo, 2019 - finaliza el período de transición de dos año. Se requiere que las Entidades cubiertas cumplan con los requisitos de la 23 NYCRR 500.11.
Más información
Aprenda más acerca, Encrypted USB Drive - Kingston Technology
- Utilizar y promocionar el uso de dispositivos de memoria Flash USB encriptados en su organización
- Alerta USB: Salvaguardando sus datos
- Neutralizando las amenazas a los USB
- La nueva regulación para la protección de datos de la UE (GDPR de la UE)
- https://www.dfs.ny.gov/about/cybersecurity.htm
- https://www.dfs.ny.gov/about/cybersecurity_faqs.htm
Dispositivos de Memoria Flash USB encriptados
-
Salvaguarde la información confidencial de su compañía.
Certificación FIPS 197
-
Salvaguarde la información confidencial de su compañía.
Certificación FIPS 197
-
Salvaguarde la información confidencial de su compañía.
Certificación FIPS 197
-
Salvaguarde la información confidencial de su compañía.
Certificación FIPS 197
