Nel maggio 2017, il Dipartimento dei servizi finanziari dello Stato di New York (NYDFS) ha pubblicato 23 NYCRR Part 500, una nuova regola di sicurezza informatica. Questo regolamento è ora pienamente operativo, ma di cosa si tratta esattamente potrebbe non essere chiaro.
Dal suo annuncio, questo insieme di requisiti ha subito alcune modifiche e il suo linguaggio legale può essere poco chiaro. Che cos'è il regolamento sulla sicurezza informatica del NYDFS e che impatto ha su di te? Diamo un'occhiata più da vicino.
Qual è il regolamento sulla sicurezza informatica del NYDFS?
Gli elenchi del regolamento sulla sicurezza informatica del NYDFS requisiti di sicurezza per i servizi finanziari in New York. Come il Regolamento generale sulla protezione dei dati (GDPR) in Europa, queste regole mirano a proteggere i dati dei cittadini tenendo le aziende a uno standard specifico. In questo caso, questi standard provengono principalmente da il quadro di sicurezza informatica del NIST.
In base a questi regolamenti, le società finanziarie di New York devono:
- Rivedere periodicamente la sicurezza e la riservatezza dei dati dei propri sistemi IT.
- Registra gli eventi di sicurezza informatica e conserva questi registri per cinque anni.
- Avere politiche e procedure per eliminare in modo sicuro le informazioni personali di cui non hanno più bisogno.
- Limitare l'accesso alle informazioni di identificazione personale (PII) e rivedere regolarmente questi privilegi.
- Avere un piano scritto dettagliato sulla scoperta, la risposta e il recupero da incidenti di sicurezza informatica.
- Notifica al NYDFS entro 72 ore da un evento di sicurezza informatica.
A differenza di altre leggi simili, il regolamento sulla sicurezza informatica del NYDFS include indicazioni dettagliate su in cosa dovrebbero consistere questi piani di sicurezza e di segnalazione. Richiede inoltre alle aziende di garantire la sicurezza delle loro terze parti, non solo delle loro operazioni interne.
Questi requisiti rendono questo regolamento uno dei più ampi e severi di qualsiasi stato. Le aziende che le violano potrebbero subire multe salate, ma l'intera portata delle sanzioni non è ancora chiara.
A chi si applica il regolamento sulla sicurezza informatica del NYDFS?
Il regolamento sulla sicurezza informatica del NYDFS si applica a qualsiasi persona o entità che necessita di una licenza del NYDFS. Ciò copre le società finanziarie e assicurative di New York, tra cui:
- Banche.
- Unioni di credito.
- Società di investimento.
- Istituti di credito autorizzati.
- Intermediari di mutui.
- Fornitori di assicurazioni.
- Associazioni di risparmio e prestito.
Queste entità coperte includono imprese locali e società straniere autorizzate a lavorare a New York. Ad esempio, anche se Deutsche Bank è una società tedesca, deve essere conforme alla 23 NYCRR Part 500 poiché opera a New York City.
Ci sono alcune eccezioni a questo elenco. Sono esenti le aziende con meno di 10 dipendenti, meno di $ 5 milioni di entrate annuali da New York negli ultimi tre anni o meno di $ 10 milioni in attività totali di fine anno. Lo stesso vale per le aziende che non archiviano o elaborano informazioni private, ma ciò è improbabile per una società di servizi finanziari.
Cosa significa per te il regolamento sulla sicurezza informatica?
Se vivi o fai una banca nello stato di New York, il tuo istituto probabilmente rientra in queste normative. Anche se non lo fai, il regolamento sulla sicurezza informatica del NYDFS potrebbe comunque applicarsi alla tua banca. Se ha una filiale che opera nello stato e soddisfa i requisiti finanziari, dovrà conformarsi.
In qualità di cliente della banca, non è necessario eseguire alcuna procedura in base a questi requisiti. Tuttavia, potresti notare alcuni cambiamenti nel modo in cui opera il tuo istituto finanziario o assicuratore. Potrebbe essere necessario utilizzare ulteriori passaggi di sicurezza come l'autenticazione a più fattori (MFA) o modificare le autorizzazioni in quanto queste società migliorare le proprie misure di sicurezza informatica.
Il NIST Cybersecurity Framework, che ha ispirato queste regole, include la condivisione tempestiva delle informazioni, che potrebbe interessarti. Se si verifica un incidente presso la tua banca o la tua compagnia assicurativa, potrebbe essere necessario avvisarti. Probabilmente non dovrai fare nulla in risposta, ma puoi aspettarti di ricevere questo tipo di messaggi.
Anche se non hai alcun obbligo legale ai sensi della 23 NYCRR Part 500, è meglio fare attenzione con le tue informazioni finanziarie. Utilizza sempre password univoche e complesse, abilita l'autenticazione a più fattori quando possibile e non fornire mai PII a una fonte sconosciuta. La severità di queste normative evidenzia quanto siano importanti questi problemi, quindi fai attenzione.
I governi stanno prendendo la sicurezza informatica più seriamente
Il regolamento sulla sicurezza informatica del NYDFS è uno dei tanti esempi recenti di governi locali che emanano leggi sulla sicurezza informatica. Poiché gli strumenti digitali diventano sempre più comuni nella vita di tutti i giorni, queste regole non faranno che crescere.
Sia i consumatori che le aziende dovrebbero tenersi aggiornati su queste normative per assicurarsi che siano conformi. All'inizio questi cambiamenti possono sembrare complicare le cose, ma sono un passo necessario verso una migliore sicurezza.
I tuoi account di social media e smartphone raccolgono dati su di te e tali informazioni possono essere utilizzate dalle agenzie governative. Ecco come e perché.
Leggi Avanti
- Sicurezza
- Sicurezza informatica
- Privacy online
- La sicurezza dei dati
Shannon è un creatore di contenuti con sede a Philly, PA. Scrive in ambito tecnologico da circa 5 anni dopo la laurea in informatica. Shannon è il caporedattore di ReHack Magazine e tratta argomenti come la sicurezza informatica, i giochi e la tecnologia aziendale.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per consigli tecnici, recensioni, ebook gratuiti e offerte esclusive!
Clicca qui per iscriverti
