NOUS JOINDRE

Assurer la conformité des données à la loi 23 NYCRR 500

Démontrez aux auditeurs les mesures prises pour assurer la confidentialité des informations recueillies sur les clients et les protéger contre les menaces et les accès non autorisés.

Êtes vous prêt pour 23 NYCRR 500?

Aperçu de la loi 23 NYCRR 500

23 NYCRR 500 est une réglementation de l’État de New York qui établit des exigences de cybersécurité pour les sociétés de services financiers réglementées par le Département des services financiers de l’État de New York (NYDFS). Elle vise à protéger les consommateurs et à garantir l’intégrité et la confidentialité des informations financières sensibles. L’objectif de 23 NYCRR 500 est de faire en sorte que les sociétés de services financiers de l’État de New York disposent de solides programmes de cybersécurité pour se protéger contre les cybermenaces et préserver l’intégrité et la confidentialité des informations financières sensibles.

23 NYCRR 500 est une réglementation de l’État de New York qui s’applique aux entreprises de services financiers réglementées par le Département des services financiers de l’État de New York (NYDFS). Cela inclut un large éventail d’entreprises, notamment :

  • Les banques
  • Les compagnies d’assurance
  • Les transporteurs de fonds
  • Les sociétés hypothécaires
  • Les émetteurs de cartes de crédit
  • Les sociétés de crédit à la consommation
  • Les agences d’évaluation du crédit
  • Les agences de recouvrement de créances

 

Outre ces entreprises, 23 NYCRR 500 s’applique également aux entités affiliées de ces entreprises, telles que les filiales, les sociétés holding et les coentreprises. Le règlement exige de ces entreprises qu’elles mettent en œuvre de solides programmes de cybersécurité afin de se protéger contre les cybermenaces et de préserver l’intégrité et la confidentialité des informations financières sensibles.

La norme 23 NYCRR 500 exige des entreprises qu’elles mettent en œuvre des programmes de cybersécurité solides afin de se protéger contre les cybermenaces et de préserver l’intégrité et la confidentialité des informations financières sensibles. La réglementation couvre un large éventail de types de données, y compris les informations personnelles et financières. Voici quelques exemples de types de données qui peuvent être couverts par 23 NYCRR 500 :

  • Les informations d’identification personnelle, telles que les noms, les adresses et les numéros de sécurité sociale
  • Les informations relatives aux comptes financiers, telles que les numéros de comptes bancaires et de cartes de crédit
  • Les informations financières personnelles, telles que les revenus, les actifs et les passifs.
  • Les informations sur la santé
  • Les informations relatives aux assurances
  • Les informations relatives à l’emploi
  • La propriété intellectuelle

 

Les types de données spécifiques qui sont couverts par le règlement peuvent varier en fonction des activités commerciales spécifiques de la société de services financiers. Le règlement exige que ces sociétés mettent en place des contrôles pour se protéger contre l’accès non autorisé ou la falsification d’informations non publiques, ce qui peut inclure toute donnée qui n’est pas accessible au public ou qui est soumise à des accords de confidentialité ou à d’autres protections légales.

Pour se conformer à 23 NYCRR 500, les sociétés de services financiers sont tenues de :

  1. Élaborer et mettre en œuvre une politique de cybersécurité écrite qui reflète le profil de risque et les activités commerciales spécifiques de l’entreprise. Cette politique doit comprendre des dispositions relatives à la protection des informations non publiques, à la destruction sécurisée de ces informations et à la transmission sécurisée de ces dernières.
  2. Désigner un responsable de la sécurité des informations (CISO) chargé de l’élaboration et de la supervision du programme de cybersécurité. Le CISO doit disposer du niveau d’autorité et des ressources nécessaires pour gérer efficacement le programme.
  3. Mettre en place des contrôles pour se protéger contre l’accès non autorisé ou la falsification d’informations non publiques. Il peut s’agir de contrôles techniques tels que les pare-feu, les systèmes de détection et de prévention des intrusions et le cryptage, ainsi que de contrôles non techniques tels que la formation des employés et les plans de réponse aux incidents.
  4. Effectuer des tests de pénétration et des évaluations de vulnérabilité annuels. Ces évaluations doivent être réalisées par des tiers qualifiés et doivent inclure des tests externes et internes.
  5. Mettre en place une authentification multifactorielle pour certains utilisateurs privilégiés et utilisateurs externes accédant aux systèmes de l’entreprise.
  6. Crypter toutes les informations non publiques en transit et au repos.
  7. Établir des plans de réponse aux incidents pour faire face aux événements de cybersécurité. Ces plans doivent inclure des procédures pour répondre aux cybermenaces, se remettre des cyberattaques et signaler les incidents au NYDFS.
  8. Dispenser régulièrement aux employés une formation de sensibilisation à la cybersécurité. Cette formation doit couvrir des sujets tels que l’importance de la cybersécurité, la manière de reconnaître et de prévenir les cybermenaces, et les procédures de réponse aux incidents de l’entreprise.

Si une société de services financiers ne se conforme pas aux exigences de la norme 23 NYCRR 500, elle peut faire l’objet de mesures d’application de la part du NYDFS.

Le NYDFS a le pouvoir d’enquêter sur les violations présumées du règlement et de prendre les mesures d’application appropriées, qui peuvent inclure l’imposition d’amendes, l’émission d’ordonnances de cessation et d’abstention, ou la révocation ou la suspension de licences. Le NYDFS peut également transmettre des cas à d’autres organismes chargés de l’application de la loi pour des enquêtes et des poursuites supplémentaires.

Les sanctions spécifiques qui peuvent être imposées en cas de non-respect du règlement 23 NYCRR 500 dépendront de la nature et de la gravité de la violation, ainsi que des antécédents de l’entreprise en matière de respect du règlement. Le NYDFS a le pouvoir d’imposer des amendes allant jusqu’à 5 000 dollars par jour de violation et peut également demander des réparations supplémentaires, telles que le remboursement des dommages ou la restauration des données perdues.

Les sociétés de services financiers qui ne se conforment pas au règlement 23 NYCRR 500 peuvent également être confrontées à une atteinte à leur réputation, ainsi qu’à une responsabilité juridique et financière pour tout préjudice causé par une cyberattaque ou une violation de données. Il est important que ces entreprises prennent les mesures nécessaires pour se conformer au règlement afin de se protéger contre les cybermenaces et de préserver l’intégrité et la confidentialité des informations financières sensibles.

Six façons dont Qohash favorise la conformité​

IDENTIFICATION DES BRÈCHES
Surveillez les risques en continu et suivez les traces des données
INVENTAIRE DES DONNÉES SENSIBLES
Trouvez les données sensibles, partout
SUPPRESSION DES DONNÉES
Répondez aux demandes de droit à l'oubli
ÉVALUATION DES RISQUES
Identifiez et corrigez les points d'exposition
APPLICATION DES POLITIQUES
Prouvez l'application des politiques de confidentialité
CONTRÔLE D'ACCÈS
Contrôlez l'accès à vos données

Demandez une démonstration

Découvrez comment vous pouvez tenir un inventaire des données réglementées par NYCRR et fournir aux autorités réglementaires la preuve d’une surveillance des données en continu, du traitement des demandes de droit à l’oubli aux points d’extrémité et de l’application des politiques.

Planifiez une rencontre

Voyez Qostodian en action

Téléchargez un fichier pour découvrir le moteur d’analyse turbo de Qostodian.

Découvrez la plateforme de sécurité des données qui scanne les éléments de données et croise les comportements des utilisateurs pour vous aider à assurer la conformité et à identifier les risques liés aux données sensibles.

SCANNEZ UN FICHIER
CONTACTEZ-NOUS

La plateforme Qostodian de Qohash trouve, inventorie et surveille en permanence les éléments de données individuels sur les postes de travail, les disques attachés et partagés, et les applications cloud Microsoft 365. 

Surveillez les interactions des employés avec les données sensibles en tout temps, grâce à une plateforme de sécurité des données SaaS moderne et intuitive, offerte pour un coût unique et prévisible.

Linkedin Twitter
Solutions
Par initiative
Par cas d'utilisation
L'effet Qohash
Entreprise
Platforme
Partenariats
tarifs
Contactez-Nous

Contactez-nous

Contact us​

ÉVALUEZ VOTRE RISQUE
À l’initiative
Conformité réglementaire:
Trouvez, classez et inventoriez toutes les données sensibles, dans toutes les sources de données
Prévention des violations de données:
Surveillez les données sensibles 24 heures sur 24, 7 jours sur 7, suivez la traçabilité des données et appliquez les politiques aux terminaux
Microsoft 365
Une plateforme facile à utiliser pour sécuriser les données sensibles sur les postes de travail Windows et M365 
Par réglementations​
RGPD
CCPA
GLBA
VCDPA
NYCRR
UCPA
PCI-DSS
CPA
Loi 25
L’effet Qohash
Défier les limites
Témoignages de nos clients
Partenariats
Tarifs