Assurer la conformité des données à la loi 23 NYCRR 500

Aperçu de la loi 23 NYCRR 500

NYDFS réglementation en cybersécurité

23 NYCRR 500 est une réglementation de l’État de New York qui établit des exigences de cybersécurité pour les sociétés de services financiers réglementées par le Département des services financiers de l’État de New York (NYDFS). Elle vise à protéger les consommateurs et à garantir l’intégrité et la confidentialité des informations financières sensibles. L’objectif de 23 NYCRR 500 est de faire en sorte que les sociétés de services financiers de l’État de New York disposent de solides programmes de cybersécurité pour se protéger contre les cybermenaces et préserver l’intégrité et la confidentialité des informations financières sensibles.

Entreprises impactées

23 NYCRR 500 est une réglementation de l’État de New York qui s’applique aux entreprises de services financiers réglementées par le Département des services financiers de l’État de New York (NYDFS). Cela inclut un large éventail d’entreprises, notamment :

• Les banques
• Les compagnies d’assurance
• Les transporteurs de fonds
• Les sociétés hypothécaires
• Les émetteurs de cartes de crédit
• Les sociétés de crédit à la consommation
• Les agences d’évaluation du crédit
• Les agences de recouvrement de créances

Outre ces entreprises, 23 NYCRR 500 s’applique également aux entités affiliées de ces entreprises, telles que les filiales, les sociétés holding et les coentreprises. Le règlement exige de ces entreprises qu’elles mettent en œuvre de solides programmes de cybersécurité afin de se protéger contre les cybermenaces et de préserver l’intégrité et la confidentialité des informations financières sensibles.

Types de données couvertes

La norme 23 NYCRR 500 exige des entreprises qu’elles mettent en œuvre des programmes de cybersécurité solides afin de se protéger contre les cybermenaces et de préserver l’intégrité et la confidentialité des informations financières sensibles. La réglementation couvre un large éventail de types de données, y compris les informations personnelles et financières. Voici quelques exemples de types de données qui peuvent être couverts par 23 NYCRR 500 :

• Les informations d’identification personnelle, telles que les noms, les adresses et les numéros de sécurité sociale
• Les informations relatives aux comptes financiers, telles que les numéros de comptes bancaires et de cartes de crédit
• Les informations financières personnelles, telles que les revenus, les actifs et les passifs.
• Les informations sur la santé
• Les informations relatives aux assurances
• Les informations relatives à l’emploi
• La propriété intellectuelle

Les types de données spécifiques qui sont couverts par le règlement peuvent varier en fonction des activités commerciales spécifiques de la société de services financiers. Le règlement exige que ces sociétés mettent en place des contrôles pour se protéger contre l’accès non autorisé ou la falsification d’informations non publiques, ce qui peut inclure toute donnée qui n’est pas accessible au public ou qui est soumise à des accords de confidentialité ou à d’autres protections légales.

Exigences de conformité

Pour se conformer à 23 NYCRR 500, les sociétés de services financiers sont tenues de :

1. Élaborer et mettre en œuvre une politique de cybersécurité écrite qui reflète le profil de risque et les activités commerciales spécifiques de l’entreprise. Cette politique doit comprendre des dispositions relatives à la protection des informations non publiques, à la destruction sécurisée de ces informations et à la transmission sécurisée de ces dernières.
2. Désigner un responsable de la sécurité des informations (CISO) chargé de l’élaboration et de la supervision du programme de cybersécurité. Le CISO doit disposer du niveau d’autorité et des ressources nécessaires pour gérer efficacement le programme.
3. Mettre en place des contrôles pour se protéger contre l’accès non autorisé ou la falsification d’informations non publiques. Il peut s’agir de contrôles techniques tels que les pare-feu, les systèmes de détection et de prévention des intrusions et le cryptage, ainsi que de contrôles non techniques tels que la formation des employés et les plans de réponse aux incidents.
4. Effectuer des tests de pénétration et des évaluations de vulnérabilité annuels. Ces évaluations doivent être réalisées par des tiers qualifiés et doivent inclure des tests externes et internes.
5. Mettre en place une authentification multifactorielle pour certains utilisateurs privilégiés et utilisateurs externes accédant aux systèmes de l’entreprise.
6. Crypter toutes les informations non publiques en transit et au repos.
7. Établir des plans de réponse aux incidents pour faire face aux événements de cybersécurité. Ces plans doivent inclure des procédures pour répondre aux cybermenaces, se remettre des cyberattaques et signaler les incidents au NYDFS.
8. Dispenser régulièrement aux employés une formation de sensibilisation à la cybersécurité. Cette formation doit couvrir des sujets tels que l’importance de la cybersécurité, la manière de reconnaître et de prévenir les cybermenaces, et les procédures de réponse aux incidents de l’entreprise.

Mise en oeuvre et sanctions

Si une société de services financiers ne se conforme pas aux exigences de la norme 23 NYCRR 500, elle peut faire l’objet de mesures d’application de la part du NYDFS.

Le NYDFS a le pouvoir d’enquêter sur les violations présumées du règlement et de prendre les mesures d’application appropriées, qui peuvent inclure l’imposition d’amendes, l’émission d’ordonnances de cessation et d’abstention, ou la révocation ou la suspension de licences. Le NYDFS peut également transmettre des cas à d’autres organismes chargés de l’application de la loi pour des enquêtes et des poursuites supplémentaires.

Les sanctions spécifiques qui peuvent être imposées en cas de non-respect du règlement 23 NYCRR 500 dépendront de la nature et de la gravité de la violation, ainsi que des antécédents de l’entreprise en matière de respect du règlement. Le NYDFS a le pouvoir d’imposer des amendes allant jusqu’à 5 000 dollars par jour de violation et peut également demander des réparations supplémentaires, telles que le remboursement des dommages ou la restauration des données perdues.

Les sociétés de services financiers qui ne se conforment pas au règlement 23 NYCRR 500 peuvent également être confrontées à une atteinte à leur réputation, ainsi qu’à une responsabilité juridique et financière pour tout préjudice causé par une cyberattaque ou une violation de données. Il est important que ces entreprises prennent les mesures nécessaires pour se conformer au règlement afin de se protéger contre les cybermenaces et de préserver l’intégrité et la confidentialité des informations financières sensibles.

6 façons dont Qohash assure la conformité

Identification des brèches

Surveillez le risque lié aux données sensibles en tout temps et recevez des alertes dès qu’une accumulation, une suppression ou une exfiltration à risque se produit. Si un incident se produit, utilisez la recherche par mot-clé pour trouver un élément de données spécifique et suivez le cheminement complet des données, y compris l’endroit exact où les données ont été extraites d’un environnement, où elles ont abouti et tous les points de contact intermédiaires.

Inventaire des données sensibles

Qohash fournit un inventaire complet des données sensibles et non structurées au repos. Qohash découvre les données sensibles 50 fois plus vite que les autres solutions, sur n’importe quelle source de données, à tout endroit. Qohash permet l’étiquetage, la classification, les recherches personnalisées par RegEx et par mot-clé, ainsi que le classement et la contextualisation des risques.

Suppression des données

Effectuez des recherches par nom, date, numéro de carte de crédit et autres pour trouver toutes les copies de données sensibles dans les systèmes de l’entreprise. Découvrez quelles catégories de données sensibles sont stockées sur les systèmes de l’entreprise. Voyez comment des éléments de données spécifiques ont été déplacés entre les employés et les sites. Supprimez des données directement dans la plateforme pour démontrer la conformité aux demandes de suppression de données en tout lieu, y compris les postes de travail.

Application des politiques

Qohash fournit aux auditeurs la preuve que les données sensibles sont surveillées et associées aux interactions des employés, permettant ainsi l’application des politiques au moment même. Qohash examine les fichiers pour suivre les éléments de données. Il surveille ces éléments et les associe aux employés et aux emplacements. Sachez à quel moment un employé a une interaction risquée avec des données sensibles. Tracez l’historique de tout élément de données qui se déplace sur les postes de travail, pour une remédiation plus rapide.

Contrôle d’accès

Créez rapidement une liste de contrôle d’accès de toutes les données réglementées par diverses lois. Fournissez des preuves des restrictions et montrez que vous évaluez régulièrement si les personnes ayant accès ont un besoin professionnel légitime.