(Có hiệu lực toàn bộ: ngày 15 tháng 2 năm 2018) Áp dụng cho mọi công ty ở New York sở hữu dữ liệu doanh nghiệp / cá nhân, sẽ có hiệu lực vào tháng 2 năm 2018 với 180 ngày để thực hiện.

NYDFS - 23 NYCRR 500: 5 lĩnh vực chính cần chú ý:

5 lĩnh vực hàng đầu mà bạn cần phải tuân thủ:

  1. Mã hóa dữ liệu nhạy cảm cả trong lúc di chuyển và lúc nghỉ. (Mục 500.15 Mã hóa thông tin không công khai.)
  2. Chỉ định Giám đốc Bảo mật Thông tin (CISO)
  3. Thiết lập Chương trình An ninh Mạng
  4. Thông qua chính sách an ninh mạng
  5. Quản lý các nhà cung cấp dịch vụ bên thứ ba
    • Bao gồm yêu cầu:
      • Kiểm tra việc xâm nhập hàng năm
      • Đánh giá khả năng bị tổn thương hai lần mỗi năm
New York State Seal

Có hình phạt nào khi không tuân thủ không?

Theo đề án DFS, các lãnh đạo công ty phải chứng nhận sự tuân thủ với các quy định của NYDFS hàng năm.

  • Nếu những chứng nhận đó là không đúng, họ có thể cung cấp cơ sở để DFS hoặc người tiêu dùng khiếu nại với ngân hàng, công ty bảo hiểm và các công ty dịch vụ tài chính khác vì vi phạm chứng nhận đó. Đề xuất lưu ý rằng những yêu cầu trong đó sẽ được thực thi theo "bất kỳ luật nào phù hợp", bao gồm những luật sau:
    • ví dụ Luật Ngân hàng New York, Luật Bảo hiểm New York
    • là những luật có bao gồm các hình phạt dân sự và hình sự cá nhân khi cố tình khai man với DFS
Có hình phạt nào khi không tuân thủ không?

Tôi cần biết những gì?

Những điểm quan trọng

  • Trích từ các tiêu chuẩn của NIST
  • Đề xuất có ảnh hưởng sâu rộng sẽ buộc các ngân hàng, công ty bảo hiểm và các công ty dịch vụ tài chính khác phải chịu trách nhiệm giải trình chặt chẽ về việc bảo vệ dữ liệu trong lúc di chuyển và lúc nghỉ
  • Đề xuất yêu cầu các công ty mã hóa dữ liệu nhạy cảm cả trong lúc di chuyển và lúc nghỉ
  • Tác động đến Phố Wall và khoảng 1.900 công ty với tổng tài sản khoảng 2,9 nghìn tỷ USD
  • Quy định ai phải chịu trách nhiệm về sự cố xâm nhập, phải có kế hoạch nhận thức và hành động; trình lên hội đồng quản trị
  • Các công ty cần định nghĩa các tiêu chí, có chính sách đối phó sự cố và cập nhật cho ban giám đốc của nhà cung cấp các tiêu chuẩn tối thiểu để kinh doanh với các tổ chức tài chính

Mã hóa dữ liệu

  • Một ổ USB mã hóa Kingston và IronKey là một trong những giải pháp để chuẩn hóa việc tuân thủ mã hóa dữ liệu
  • Đề xuất yêu cầu các công ty mã hóa dữ liệu nhạy cảm cả trong lúc di chuyển và lúc nghỉ. (Mục 500.15 Mã hóa thông tin không công khai.)
    • Mục 500.15 Mã hóa thông tin không công khai.
      • (a) Nằm trong trong chương trình an ninh mạng, dựa trên Đánh giá Rủi ro, mỗi Thực thể trong phạm vi quy định sẽ thực thi các biện pháp kiểm soát, bao gồm mã hóa, để bảo vệ Thông tin Không công khai được Thực thể trong phạm vi quy định đó nắm giữ hoặc truyền đi cả trong khi được truyền đi qua mạng bên ngoài và lúc nghỉ.
  • Yêu cầu các công ty xử lý hoặc lưu giữ thông tin nhận dạng cá nhân thực thi đầy đủ các biện pháp bảo mật để bảo vệ dữ liệu cá nhân khỏi bị đánh cắp.
  • Yêu cầu các công ty phải thực hiện những tiêu chuẩn mã hóa dữ liệu mạnh hơn này trong hợp đồng với các nhà cung cấp dịch vụ bên thứ ba. (Mục 500.11 Chính sách bảo mật của nhà cung cấp dịch vụ bên thứ ba.)
    • Công ty có số lượng lớn nhà cung cấp dịch vụ vì họ phải thực hiện các biện pháp để xác nhận sự tuân thủ những yêu cầu mã hóa của mỗi nhà cung cấp dịch vụ.
      • Mục 500.11 Chính sách bảo mật của nhà cung cấp dịch vụ bên thứ ba.
        • (2) các chính sách và quy trình sử dụng mã hóa của Nhà cung cấp dịch vụ bên thứ ba theo yêu cầu của mục 500.15 của phần này để bảo vệ Thông tin Không công khai lúc di chuyển và lúc nghỉ;

Đề án này ảnh hưởng thế nào đến công ty của tôi?

  • Kinh doanh trong lĩnh vực ngân hàng, bảo hiểm và các dịch vụ tài chính khác ở thành phố New York hoặc nếu bạn cung cấp dịch vụ hoặc có hợp đồng làm nhà cung cấp cho những doanh nghiệp trong ngành này, bạn cũng sẽ cần làm theo và tuân thủ những quy định này
  • Bạn cũng sẽ cần tuân thủ quy định và quy tắc trong việc lắp đặt những hệ thống phù hợp để bảo mật và mã hóa thông tin trong thiết bị lưu trữ dữ liệu.
  • Yêu cầu các công ty xử lý hoặc lưu giữ thông tin nhận dạng cá nhân thực thi đầy đủ các biện pháp bảo mật để bảo vệ dữ liệu cá nhân khỏi bị đánh cắp.

Công ty của tôi cần làm gì để bảo đảm sự tuân thủ?

  • Lập sơ đồ các sản phẩm / thiết bị nội bộ và bên ngoài có lưu trữ dữ liệu
    Lập sổ theo dõi và yêu cầu các thiết bị mà công ty sử dụng phải thực hiện theo chính sách bảo mật dữ liệu của công ty bạn và bảo đảm rằng dữ liệu được mã hóa. Các thiết bị, bao gồm nhưng không chỉ là: máy chủ, ổ cứng, SSD, thẻ USB Flash, máy tính và thiết bị di động.
  • Phân tích kho dữ liệu
    Đánh giá tổng lượng dữ liệu cá nhân.
  • Thanh lọc
    Loại bỏ các hồ sơ thông tin nhận dạng cá nhân không cần thiết (PII).
  • Người kiểm soát thông tin
    Đánh giá các nguy cơ về bảo mật thông tin cá nhân và đánh giá tác động.
  • h thực thi ngay từ bây giờ các chính sách sẽ trở thành bắt buộc sau ngày bắt đầu có hiệu lực vào tháng 2 năm 2018
  • Xâm phạm dữ liệu
    Quy định yêu cầu thông báo trong vòng 72 giờ.

Giải pháp - Thực thi các biện pháp bảo vệ phù hợp, tiêu chuẩn và chính sách kỹ thuật như: mã hóa dữ liệu cá nhân / thông tin nhận dạng cá nhân (PII) để giảm thiểu nguy cơ không tuân thủ. Learn more

Thông báo xâm nhập

Phải thông báo về việc dữ liệu bị xâm nhập trong vòng 72 giờ kể từ khi biết được sự cố đó, nếu khả thi mặc dù không cần phải thông báo với DPA nếu việc đó khó có khả năng gây rủi ro cho quyền hoặc tự do của các cá nhân.

Quyền lợi của người tiêu dùng

Thông tin nhận dạng cá nhân (PII) là gì?

Thông tin nhận dạng cá nhân (PII) hay thông tin cá nhân nhạy cảm (SPI) như được sử dụng trong luật riêng tư và bảo mật thông tin của Hoa Kỳ, là thông tin có thể được sử dụng riêng rẽ hoặc với thông tin khác để nhận dạng, liên lạc hoặc xác định một người duy nhất hoặc xác định một cá nhân trong một tình huống.

  • Ấn phẩm Đặc biệt của NIST 800-122[4] định nghĩa PII là “bất cứ thông tin nào về một cá nhân được duy trì bởi một cơ quan, bao gồm (1) bất kỳ thông tin nào có thể được sử dụng để phân biệt hoặc truy tìm danh tính của một cá nhân, như tên, số an sinh xã hội, ngày tháng và nơi sinh, tên của mẹ hoặc hồ sơ sinh trắc học; và (2) bất kỳ thông tin nào được liên kết hoặc có thể liên kết đến một cá nhân, như thông tin y tế, giáo dục, tài chính hoặc nghề nghiệp.” (Để biết thêm thông tin: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
Quyền lợi của người tiêu dùng

Chính sách An ninh Mạng

(Từ tài liệu “Yêu cầu về an ninh mạng cho các công ty dịch vụ tài chính”: https://www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf )

Mỗi Thực thể trong phạm vi quy định sẽ thực thi và duy trì một hoặc các chính sách bằng văn bản, được chấp thuận bởi một Viên chức Cao cấp hoặc hội đồng quản trị của Thực thể trong phạm vi quy định (hoặc một ủy ban phù hợp liên quan) hoặc cơ quan quản lý tương đương, đặt ra các chính sách và thủ tục của Thực thể trong phạm vi quy định đối với việc bảo vệ các Hệ thống thông tin và Thông tin Không công khai được lưu trữ trên các Hệ thống thông tin đó.

CyberSecurity

(a) bảo mật thông tin
(b) quản lý và phân loại dữ liệu
(c) danh sách tài sản và quản lý thiết bị
(d) kiểm soát truy cập và quản lý danh tính
(e) kế hoạch kinh doanh liên tục và kế hoạch và tài nguyên phục hồi sau thảm họa
(f) vận hành hệ thống và lo ngại về tính sẵn sàng
(g) hệ thống và an ninh mạng
(h) hệ thống và giám sát mạng
(i) hệ thống và phát triển ứng dụng và bảo đảm chất lượng
(j) an ninh vật lý và kiểm soát môi trường
(k) tính riêng tư của dữ liệu người dùng
(l) nhà cung cấp và quản lý nhà cung cấp dịch vụ bên thứ ba
(m) đánh giá rủi ro
(n) phản ứng với sự cố

Những mốc thời gian chính trong Quy định về an ninh mạng của New York (23 NYCRR Part 500)

  • 1 tháng 3 năm 2017 - 23 NYCRR Phần 500 có hiệu lực.
  • 28 tháng 8 năm 2017 - giai đoạn chuyển tiếp 180 ngày kết thúc. Yêu cầu các Thực thể trong phạm vi quy định tuân thủ các yêu cầu của 23 NYCRR Phần 500 trừ khi có yêu cầu khác.
  • 15 tháng 2 năm 2018 - Yêu cầu các Thực thể trong phạm vi quy định nộp chứng nhận thứ nhất theo 23 NYCRR 500.17(b) hoặc trước ngày này.
  • 1 tháng 3 năm 2018 - Giai đoạn chuyển tiếp 180 ngày kết thúc. Yêu cầu các thực thể trong phạm vi quy định tuân thủ các điều kiện của các mục 500.04(b), 500.05, 500.09, 500.12 và 500.14(b) của 23 NYCRR Phần 500.
  • 3 tháng 9 năm 2018 - Giai đoạn chuyển tiếp 18 tháng kết thúc. Yêu cầu các thực thể trong phạm vi quy định tuân thủ với các điều kiện của các mục 500.06, 500.08, 500.13, 500.14(a) và 500.15 của 23 NYCRR Phần 500.
  • 1 tháng 3 năm 2019 - Giai đoạn chuyển tiếp hai năm kết thúc. Yêu cầu các Thực thể trong phạm vi quy định tuân thủ các yêu cầu của 23 NYCRR 500.11.