Em maio de 2017, o Departamento de Serviços Financeiros do Estado de Nova York (NYDFS) lançou a 23 NYCRR Parte 500, uma nova regra de segurança cibernética. Este regulamento está agora em vigor, mas o que é exatamente pode não estar claro.
Desde o seu anúncio, este conjunto de requisitos passou por algumas alterações e sua linguagem jurídica pode não ser clara. O que é o regulamento de segurança cibernética do NYDFS e como isso afeta você? Vamos olhar mais de perto.
O que é o regulamento de segurança cibernética do NYDFS?
As listas de regulamentação de cibersegurança NYDFS requisitos de segurança para serviços financeiros Em Nova Iórque. Como o Regulamento Geral de Proteção de Dados (GDPR) da Europa, essas regras têm como objetivo proteger os dados dos cidadãos exigindo que as empresas sigam um padrão específico. Neste caso, esses padrões vêm principalmente de a Estrutura de Segurança Cibernética do NIST.
De acordo com esses regulamentos, as empresas financeiras de Nova York devem:
- Revise periodicamente a segurança de seus sistemas de TI e privacidade de dados.
- Registre eventos de segurança cibernética e mantenha esses registros por cinco anos.
- Tenha políticas e procedimentos para excluir com segurança informações pessoais de que eles não precisam mais.
- Limite o acesso às Informações de identificação pessoal (PII) e analise regularmente esses privilégios.
- Tenha um plano detalhado por escrito sobre como descobrir, responder e se recuperar de incidentes de segurança cibernética.
- Notifique o NYDFS dentro de 72 horas de um evento de segurança cibernética.
Ao contrário de algumas leis semelhantes, o regulamento de segurança cibernética do NYDFS inclui orientações detalhadas sobre em que devem consistir esses planos de segurança e relatórios. Também exige que as empresas garantam que seus terceiros estejam seguros, não apenas que suas operações internas estejam.
Esses requisitos tornam este regulamento um dos mais amplos e rígidos de qualquer estado. As empresas que as violarem podem enfrentar multas pesadas, mas a extensão total das penalidades ainda não está clara.
A quem se aplica o regulamento de segurança cibernética do NYDFS?
O regulamento de segurança cibernética NYDFS aplica-se a qualquer pessoa ou entidade que precisa de uma licença do NYDFS. Isso cobre empresas financeiras e de seguros em Nova York, incluindo:
- Bancos.
- Cooperativas de crédito.
- Empresas de investimento.
- Credores licenciados.
- Corretores de hipotecas.
- Provedores de seguros.
- Associações de poupança e empréstimo.
Essas entidades cobertas incluem empresas locais e empresas estrangeiras licenciadas para trabalhar em Nova York. Por exemplo, embora o Deutsche Bank seja uma empresa alemã, ele deve cumprir a 23ª NYCRR Parte 500, uma vez que atua na cidade de Nova York.
Existem algumas exceções a esta lista. Empresas com menos de 10 funcionários, menos de US $ 5 milhões em receita anual de Nova York nos últimos três anos ou menos de US $ 10 milhões em ativos totais no final do ano estão isentas. O mesmo ocorre com as empresas que não armazenam ou processam informações privadas, mas isso é improvável para uma empresa de serviços financeiros.
O que o regulamento de segurança cibernética significa para você?
Se você mora ou faz banco no estado de Nova York, sua instituição provavelmente se enquadra nesses regulamentos. Mesmo se você não fizer isso, o regulamento de cibersegurança do NYDFS ainda pode se aplicar ao seu banco. Se tiver uma filial operando no estado e atender aos requisitos financeiros, terá que cumprir.
Como cliente do banco, você não precisa realizar nenhuma ação de acordo com esses requisitos. Você pode ver algumas mudanças em como sua instituição financeira ou seguradora opera, no entanto. Você pode ter que usar etapas de segurança adicionais, como autenticação multifator (MFA) ou ajustar suas permissões conforme essas empresas melhorar suas medidas de segurança cibernética.
A Estrutura de Segurança Cibernética do NIST, que inspirou essas regras, inclui o compartilhamento oportuno de informações, o que pode afetar você. Se houver um incidente em seu banco ou seguradora, eles podem ter que notificá-lo. Você provavelmente não terá que fazer nada em resposta, mas pode esperar receber esses tipos de mensagens.
Mesmo que você não tenha nenhuma obrigação legal de acordo com a 23 NYCRR Parte 500, é melhor ter cuidado com suas informações financeiras. Sempre use senhas exclusivas e fortes, habilite o MFA quando possível e nunca forneça PII a uma fonte desconhecida. O rigor dessas regulamentações destaca a importância dessas questões, portanto, tenha cuidado.
Os governos estão levando a segurança cibernética mais a sério
O regulamento de segurança cibernética do NYDFS é um dos muitos exemplos recentes de governos locais emitindo leis de segurança cibernética. À medida que as ferramentas digitais se tornam cada vez mais comuns na vida cotidiana, essas regras só crescerão.
Consumidores e empresas devem se manter atualizados sobre essas regulamentações para garantir que estejam em conformidade. Essas mudanças podem parecer complicar as coisas no início, mas são uma etapa necessária para melhorar a segurança.
Suas contas de mídia social e smartphones coletam dados sobre você, e essas informações podem ser usadas por agências governamentais. Veja como e por quê.
Leia a seguir
- Segurança
- Cíber segurança
- Privacidade Online
- Segurança de dados
Shannon é uma criadora de conteúdo localizada em Philly, PA. Ela tem escrito na área de tecnologia por cerca de 5 anos depois de se formar em TI. Shannon é editora-chefe da ReHack Magazine e cobre tópicos como segurança cibernética, jogos e tecnologia empresarial.
Assine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!
Clique aqui para se inscrever
