NYDFS 500: Pourquoi le règlement?

Auparavant, j’avais abordé les lois relatives à la confidentialité des données, notamment celles concernant le NYCRR 500 du Département des services financiers de l’État de New York (NYDFS) 23. Je souhaite maintenant aborder les motifs et les exigences du règlement.

Ce règlement est en place. promouvoir la protection des informations non publiques (NPI) ainsi que des systèmes informatiques des entités réglementées.

Par informations non publiques, on entend toutes les informations électroniques qui ne sont pas des informations accessibles au public et qui sont:

1. Informations relatives aux activités commerciales d'une entité couverte la falsification, ou la divulgation, l'accès ou l'utilisation non autorisés aurait un impact défavorable important sur l'activité, les opérations ou la sécurité de l'entité couverte
2. Toute information concernant un individu qui, du fait de son nom, de son numéro, de sa marque personnelle, ou un autre identifiant peut être utilisé pour identifier cet individu, en combinaison avec un ou plusieurs des éléments de données suivants: (i) numéro de sécurité sociale, (ii) conducteur le numéro de licence du demandeur ou son numéro de carte d'identification de non-conducteur, (iii) son numéro de compte, son numéro de carte de crédit ou de débit, (iv) tout code de sécurité, code d'accès ou mot de passe permettant l'accès au compte financier d'un particulier, ou (v) biométrique records
3. Toute information ou donnée, à l'exception de l'âge ou du sexe, sous quelque forme que ce soit, créée par un prestataire de soins de santé ou émanant d'un prestataire de soins de santé ou dérivée de celui-ci et portant sur: (i) la santé physique, mentale ou comportementale passée, présente ou future ou la situation d'un particulier ou d'un membre de sa famille, (ii) la fourniture de soins de santé à un particulier, ou (iii) le paiement de soins de santé pour un particulier

Exigences du règlement NYDFS 500 [19659008] Toutes les entités couvertes doivent adopter un programme de cybersécurité répondant aux exigences minimales suivantes en fonction de l'évaluation des risques de l'entité couverte:

Programme de cybersécurité: Gérer un programme de cybersécurité conçu pour protéger onfidentiality, intégrité et disponibilité des systèmes d’information.

Politique de cybersécurité: Mettre en œuvre et maintenir une politique écrite ou des politiques, approuvées par un haut dirigeant ou par le conseil d’administration, pour la protection de ses systèmes d’information et informations non publiques stockées sur ces systèmes d’information.

Responsable de la sécurité de l’information: Désigner une personne qualifiée responsable de la supervision et de la mise en œuvre du programme de cybersécurité et de l’application de la politique de cybersécurité.

Évaluations de la vulnérabilité: Le programme de cybersécurité doit inclure une surveillance continue ou des tests de pénétration annuels et des évaluations de la vulnérabilité tous les deux ans.

Piste de vérification: Conservez en toute sécurité les systèmes (1) conçus pour reconstituer les transactions financières importantes. suffisant pour supporter les opérations normales et les obligations de l'entité couverte; et (2) incluent des pistes d'audit conçues pour détecter les incidents de cybersécurité nuisibles et y réagir.

Privilèges d'accès: Limitez les privilèges d'accès des utilisateurs aux systèmes d'information permettant l'accès à des informations non publiques et réexaminez périodiquement ces privilèges.

Sécurité des applications: Inclure des procédures écrites, des directives et des normes conçues pour garantir l'utilisation de pratiques de développement sécurisées pour les applications développées en interne, ainsi que des procédures permettant d'évaluer, de tester ou de tester la sécurité des applications développées en externe .

Évaluation des risques: Procédez à une évaluation périodique des risques des systèmes d’information et permettez la révision des contrôles afin de répondre aux évolutions technologiques et à l’évolution des menaces.

Cybersécurité Personnel et renseignements: Recourir à un personnel qualifié en cybersécurité pour gérer les risques liés à la cybersécurité et exécuter ou superviser Principales fonctions de cybersécurité.

Politique de sécurité du fournisseur de service tiers: Mettre en œuvre des politiques et procédures écrites visant à garantir la sécurité des systèmes d'information et des NPI accessibles ou détenus par un service tiers Authentification multifactorielle: Sur la base de son évaluation du risque, utilisez des contrôles efficaces, pouvant inclure une authentification multifactorielle ou une authentification basée sur les risques, pour vous protéger contre tout accès non autorisé à NPI ou à des systèmes d'information.

Limitations relatives à la conservation des données: Instituez des politiques et des procédures pour la destruction sécurisée périodique de tout ISBL qui n'est plus nécessaire pour les affaires, sauf lorsque la loi ou la réglementation vous oblige à la conserver. .

Formation et contrôle: 1) Surveiller l’activité des utilisateurs autorisés et détecter les accès non autorisés, l’utilisation ou la falsification de NPI par ces utilisateurs autorisés; et (2) dispenser régulièrement à tout le personnel une formation de sensibilisation à la cybersécurité.

Cryptage d'informations non publiques: Mettre en place des contrôles, y compris le cryptage, afin de protéger les NPI détenus ou transmis par l'entité couverte, tant en transit sur des réseaux externes que

Plan d’intervention en cas d’incident: Établir un plan écrit d’intervention en cas d’incident conçu pour réagir promptement à tout événement de cybersécurité affectant de manière importante la confidentialité, l’intégrité ou la disponibilité des systèmes fonctionnalité de tout aspect de l'activité ou des opérations.

Avis au surintendant: (1) Notifier le surintendant dans les 72 heures suivant la détermination de la survenance d'un événement préjudiciable de cybersécurité; et (2) soumettre chaque année au surintendant une déclaration écrite couvrant l'année civile précédente, certifiant qu'elle est conforme aux exigences énoncées dans le présent règlement.

Pour plus d'informations sur les lois et réglementations du NYDFS 500 et du GDPR relatives à la situation financière secteur des services, veuillez télécharger notre guide ici ou cliquez ci-dessous.