Πώς σας επηρεάζει ο κανονισμός για την κυβερνοασφάλεια του NYDFS;

Τον Μάιο του 2017, το Υπουργείο Οικονομικών Υπηρεσιών της Πολιτείας της Νέας Υόρκης (NYDFS) κυκλοφόρησε το 23 NYCRR Part 500, έναν νέο κανόνα κυβερνοασφάλειας. Αυτός ο κανονισμός είναι τώρα σε πλήρη ισχύ, αλλά τι ακριβώς είναι μπορεί να μην είναι σαφές.

Από την ανακοίνωσή του, αυτό το σύνολο απαιτήσεων έχει υποστεί μερικές αλλαγές και η νομική του γλώσσα μπορεί να είναι ασαφής. Τι είναι ο κανονισμός για την κυβερνοασφάλεια του NYDFS και πώς σας επηρεάζει; Ας ρίξουμε μια πιο προσεκτική ματιά.

Τι είναι ο Κανονισμός Κυβερνοασφάλειας του NYDFS;

Οι λίστες του κανονισμού για την κυβερνοασφάλεια του NYDFS απαιτήσεις ασφαλείας για χρηματοπιστωτικές υπηρεσίες στη Νέα Υόρκη. Όπως και ο Γενικός Κανονισμός για την Προστασία Δεδομένων της Ευρώπης (GDPR), αυτοί οι κανόνες στοχεύουν στην προστασία των δεδομένων των πολιτών διατηρώντας εταιρείες χαρτοφυλακίου σύμφωνα με ένα συγκεκριμένο πρότυπο. Στην περίπτωση αυτή, αυτά τα πρότυπα προέρχονται κυρίως από το Πλαίσιο Κυβερνοασφάλειας NIST.

Σύμφωνα με αυτούς τους κανονισμούς, οι χρηματοπιστωτικές εταιρείες της Νέας Υόρκης πρέπει:

• Ελέγχετε περιοδικά την ασφάλεια και το απόρρητο δεδομένων των συστημάτων πληροφορικής τους.
• Καταγράψτε συμβάντα στον κυβερνοχώρο και διατηρήστε αυτά τα αρχεία για πέντε χρόνια.
• Να διαθέτουν πολιτικές και διαδικασίες για την ασφαλή διαγραφή προσωπικών πληροφοριών που δεν χρειάζονται πλέον.
• Περιορίστε την πρόσβαση σε Πληροφορίες Προσωπικής Αναγνώρισης (PII) και ελέγχετε τακτικά αυτά τα προνόμια.
• Έχετε ένα λεπτομερές γραπτό σχέδιο σχετικά με την ανακάλυψη, την απόκριση και την ανάκαμψη από περιστατικά κυβερνοασφάλειας.
• Ειδοποιήστε το NYDFS εντός 72 ωρών από ένα συμβάν κυβερνοασφάλειας.

Σε αντίθεση με ορισμένους παρόμοιους νόμους, ο κανονισμός για την κυβερνοασφάλεια του NYDFS περιλαμβάνει λεπτομερείς οδηγίες σχετικά με το τι πρέπει να αποτελούνται αυτά τα σχέδια ασφάλειας και αναφοράς. Απαιτεί επίσης από τις εταιρείες να διασφαλίζουν ότι τα τρίτα μέρη είναι ασφαλή και όχι μόνο ότι είναι ασφαλείς οι εσωτερικές τους λειτουργίες.

Αυτές οι απαιτήσεις καθιστούν αυτόν τον κανονισμό έναν από τους ευρύτερους και αυστηρότερους από οποιοδήποτε κράτος. Οι επιχειρήσεις που τις παραβιάζουν ενδέχεται να αντιμετωπίσουν υψηλά πρόστιμα, αλλά η πλήρης έκταση των κυρώσεων είναι ακόμα ασαφής.

Σε ποιους ισχύει ο κανονισμός κυβερνοασφάλειας του NYDFS;

Ο κανονισμός για την κυβερνοασφάλεια του NYDFS ισχύει για οποιοδήποτε πρόσωπο ή οντότητα που χρειάζεται άδεια από το NYDFS. Αυτό καλύπτει χρηματοοικονομικές και ασφαλιστικές εταιρείες στη Νέα Υόρκη, συμπεριλαμβανομένων:

• Τράπεζες.
• Πιστωτικές ενώσεις.
• Επενδυτικές εταιρείες.
• Αδειοδοτημένοι δανειστές.
• Μεσίτες στεγαστικών δανείων.
• Ασφαλιστικοί πάροχοι.
• Ταμιευτήρια και Δανειακές Ενώσεις.

Αυτές οι καλυπτόμενες οντότητες περιλαμβάνουν τοπικές επιχειρήσεις και ξένες εταιρείες με άδεια εργασίας στη Νέα Υόρκη. Για παράδειγμα, παρόλο που η Deutsche Bank είναι γερμανική εταιρεία, πρέπει να συμμορφωθεί με το 23 NYCRR Μέρος 500 από τότε λειτουργεί στη Νέα Υόρκη.

Υπάρχουν μερικές εξαιρέσεις σε αυτή τη λίστα. Εξαιρούνται εταιρείες με λιγότερους από 10 υπαλλήλους, λιγότερο από 5 εκατομμύρια δολάρια σε ετήσια έσοδα από τη Νέα Υόρκη τα τελευταία τρία χρόνια ή λιγότερο από 10 εκατομμύρια δολάρια σε συνολικά περιουσιακά στοιχεία στο τέλος του έτους. Το ίδιο και οι επιχειρήσεις που δεν αποθηκεύουν ή επεξεργάζονται ιδιωτικές πληροφορίες, αλλά αυτό είναι απίθανο για μια εταιρεία χρηματοοικονομικών υπηρεσιών.

Τι σημαίνει για εσάς ο κανονισμός για την κυβερνοασφάλεια;

Εάν ζείτε ή τράπεζα στην πολιτεία της Νέας Υόρκης, το ίδρυμά σας πιθανότατα εμπίπτει σε αυτούς τους κανονισμούς. Ακόμα κι αν δεν το κάνετε, ο κανονισμός για την κυβερνοασφάλεια του NYDFS θα μπορούσε να ισχύει για την τράπεζά σας. Εάν έχει υποκατάστημα που λειτουργεί στην πολιτεία και πληροί τις οικονομικές απαιτήσεις, θα πρέπει να συμμορφωθεί.

Ως πελάτης της τράπεζας, δεν χρειάζεται να κάνετε κανένα μέτρο σύμφωνα με αυτές τις απαιτήσεις. Ωστόσο, ενδέχεται να δείτε κάποιες αλλαγές στον τρόπο λειτουργίας του χρηματοπιστωτικού ιδρύματος ή του ασφαλιστή σας. Ίσως χρειαστεί να χρησιμοποιήσετε πρόσθετα βήματα ασφαλείας, όπως τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) ή να προσαρμόσετε τα άδειά σας όπως αυτές οι εταιρείες βελτιώσουν τα μέτρα κυβερνοασφάλειας τους.

Το Πλαίσιο Κυβερνοασφάλειας NIST, το οποίο ενέπνευσε αυτούς τους κανόνες, περιλαμβάνει την έγκαιρη ανταλλαγή πληροφοριών, που μπορεί να σας επηρεάσει. Εάν συμβεί κάποιο περιστατικό στην τράπεζά σας ή στον ασφαλιστή σας, ίσως χρειαστεί να σας ειδοποιήσουν. Πιθανότατα δεν θα χρειαστεί να κάνετε τίποτα ως απάντηση, αλλά μπορείτε να περιμένετε να λάβετε τέτοιου είδους μηνύματα.

Ακόμα κι αν δεν έχετε καμία νομική υποχρέωση σύμφωνα με το 23 NYCRR Μέρος 500, είναι καλύτερο να είστε προσεκτικοί με τα οικονομικά σας στοιχεία. Να χρησιμοποιείτε πάντα μοναδικούς, ισχυρούς κωδικούς πρόσβασης, να ενεργοποιείτε το MFA όταν είναι δυνατόν και να μην δίνετε ποτέ PII σε άγνωστη πηγή. Η αυστηρότητα αυτών των κανονισμών υπογραμμίζει πόσο σημαντικά είναι αυτά τα ζητήματα, επομένως να είστε προσεκτικοί.

Οι κυβερνήσεις παίρνουν πιο σοβαρά την ασφάλεια στον κυβερνοχώρο

Ο κανονισμός για την κυβερνοασφάλεια του NYDFS είναι ένα από τα πολλά πρόσφατα παραδείγματα τοπικών κυβερνήσεων που εκδίδουν νόμους για την ασφάλεια στον κυβερνοχώρο. Καθώς τα ψηφιακά εργαλεία γίνονται όλο και πιο κοινά στην καθημερινή ζωή, αυτοί οι κανόνες θα αυξάνονται.

Οι καταναλωτές και οι επιχειρήσεις θα πρέπει να παραμένουν ενημερωμένοι σχετικά με αυτούς τους κανονισμούς για να βεβαιωθούν ότι συμμορφώνονται. Αυτές οι αλλαγές μπορεί να φαίνονται να περιπλέκουν τα πράγματα στην αρχή, αλλά είναι ένα απαραίτητο βήμα για καλύτερη ασφάλεια.

Πώς σας κατασκοπεύει η κυβέρνηση με συλλεγμένα δεδομένα

Οι λογαριασμοί σας στα μέσα κοινωνικής δικτύωσης και τα smartphone σας συλλέγουν δεδομένα για εσάς και αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν από κρατικούς φορείς. Δείτε πώς και γιατί.

Διαβάστε Επόμενο

Σχετικά με τον Συγγραφέα