În mai 2017, Departamentul de Servicii Financiare de Stat din New York (NYDFS) a lansat 23 NYCRR Part 500, o nouă regulă de securitate cibernetică. Acest regulament este acum în plin efect, dar care este exact poate să nu fie clar.
De la anunțarea sa, acest set de cerințe a suferit câteva modificări, iar limbajul său juridic poate fi neclar. Ce este reglementarea NYDFS privind securitatea cibernetică și cum vă afectează? Să aruncăm o privire mai atentă.
Ce este regulamentul de securitate cibernetică al NYDFS?
Listele de reglementări NYDFS privind securitatea cibernetică cerințele de securitate pentru serviciile financiare în New York. La fel ca Regulamentul general european privind protecția datelor (GDPR), aceste reguli urmăresc să protejeze datele cetățenilor prin holdinguri la un anumit standard. În acest caz, aceste standarde provin în principal de la cadrul NIST de securitate cibernetică.
Conform acestor reglementări, companiile financiare din New York trebuie să:
- Verificați periodic securitatea sistemelor lor IT și confidențialitatea datelor.
- Înregistrați evenimentele de securitate cibernetică și păstrați aceste înregistrări timp de cinci ani.
- Au politici și proceduri pentru ștergerea în siguranță a informațiilor personale de care nu mai au nevoie.
- Limitați accesul la informații de identificare personală (PII) și revizuiți în mod regulat aceste privilegii.
- Aveți un plan scris detaliat despre descoperirea, răspunsul și recuperarea în urma incidentelor de securitate cibernetică.
- Notificați NYDFS în termen de 72 de ore de la un eveniment de securitate cibernetică.
Spre deosebire de unele legi similare, regulamentul de securitate cibernetică NYDFS include instrucțiuni detaliate despre ce ar trebui să constea aceste planuri de securitate și raportare. De asemenea, solicită companiilor să se asigure că terții lor sunt în siguranță, nu doar că operațiunile lor interne sunt.
Aceste cerințe fac din acest regulament unul dintre cele mai ample și mai stricte dintre toate statele. Companiile care le încalcă s-ar putea confrunta cu amenzi mari, dar amenzile sunt încă neclare.
Cui se aplică Regulamentul de securitate cibernetică NYDFS?
Regulamentul NYDFS privind securitatea cibernetică se aplică oricărei persoane sau entități care are nevoie de o licență de la NYDFS. Aceasta acoperă companiile financiare și de asigurări din New York, inclusiv:
- Băncile.
- Uniuni de credit.
- Societăți de investiții.
- Creditori autorizați.
- Brokeri ipotecare.
- Furnizorii de asigurări.
- Asociații de economii și împrumut.
Aceste entități acoperite includ afaceri locale și companii străine autorizate să lucreze în New York. De exemplu, chiar dacă Deutsche Bank este o companie germană, trebuie să respecte 23 NYCRR Part 500, deoarece operează în New York City.
Există câteva excepții de la această listă. Companiile cu mai puțin de 10 angajați, mai puțin de 5 milioane USD în venituri anuale de la New York în ultimii trei ani sau mai puțin de 10 milioane USD în active totale la sfârșitul anului sunt scutite. La fel sunt companiile care nu stochează sau nu procesează informații private, dar acest lucru este puțin probabil pentru o companie de servicii financiare.
Ce înseamnă pentru tine regulamentul de securitate cibernetică?
Dacă locuiți sau aveți o bancă în statul New York, instituția dvs. probabil intră sub incidența acestor reglementări. Chiar dacă nu o faceți, regulamentul de securitate cibernetică NYDFS s-ar putea aplica în continuare băncii dvs. Dacă are o sucursală care funcționează în stat și îndeplinește cerințele financiare, va trebui să se conformeze.
În calitate de client al băncii, nu trebuie să faceți niciun pas în conformitate cu aceste cerințe. Totuși, este posibil să observați unele schimbări în modul în care funcționează instituția dvs. financiară sau asigurătorul. Este posibil să fie necesar să utilizați pași de securitate suplimentari, cum ar fi autentificarea multifactorială (MFA) sau să vă ajustați permisiunile deoarece aceste companii să-și îmbunătățească măsurile de securitate cibernetică.
Cadrul de securitate cibernetică NIST, care a inspirat aceste reguli, include schimbul de informații în timp util, care vă poate afecta. Dacă există un incident la banca sau asigurătorul dvs., este posibil să fie nevoiți să vă anunțe. Probabil că nu va trebui să faceți nimic ca răspuns, dar vă puteți aștepta să primiți aceste tipuri de mesaje.
Chiar dacă nu aveți nicio obligație legală în temeiul 23 NYCRR Part 500, cel mai bine este să fiți atenți la informațiile dvs. financiare. Folosiți întotdeauna parole unice și puternice, activați MFA atunci când este posibil și nu oferiți niciodată PII unei surse necunoscute. Severitatea acestor reglementări evidențiază cât de importante sunt aceste probleme, așa că practicați prudență.
Guvernele iau securitatea cibernetică mai în serios
Reglementarea NYDFS privind securitatea cibernetică este unul dintre numeroasele exemple recente de guverne locale care emit legi privind securitatea cibernetică. Pe măsură ce instrumentele digitale devin din ce în ce mai comune în viața de zi cu zi, aceste reguli vor crește doar.
Consumatorii și companiile deopotrivă ar trebui să fie la curent cu aceste reglementări pentru a se asigura că sunt conforme. Aceste schimbări pot părea să complice lucrurile la început, dar sunt un pas necesar către o securitate mai bună.
Conturile tale de socializare și smartphone-urile colectează date despre tine, iar aceste informații pot fi folosite de agențiile guvernamentale. Iată cum și de ce.
Citiți în continuare
- Securitate
- Securitate cibernetică
- Confidențialitate online
- Securitatea datelor
Shannon este un creator de conținut situat în Philly, PA. Ea scrie în domeniul tehnologiei de aproximativ 5 ani după ce a absolvit o diplomă în IT. Shannon este Managing Editor al ReHack Magazine și acoperă subiecte precum securitatea cibernetică, jocurile și tehnologia de afaceri.
Aboneaza-te la newsletter-ul nostru
Alăturați-vă buletinului nostru informativ pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!
Click aici pentru a te abona
