W maju 2017 r. Departament Usług Finansowych Stanu Nowy Jork (NYDFS) opublikował 23 NYCRR Part 500, nową zasadę cyberbezpieczeństwa. To rozporządzenie już w pełni obowiązuje, ale co to właściwie jest, może nie być jasne.
Od czasu ogłoszenia ten zestaw wymagań przeszedł kilka zmian, a jego język prawny może być niejasny. Czym jest rozporządzenie w sprawie cyberbezpieczeństwa NYDFS i jaki ma na Ciebie wpływ? Przyjrzyjmy się bliżej.
Co to jest rozporządzenie w sprawie cyberbezpieczeństwa NYDFS?
Wykazy przepisów dotyczących cyberbezpieczeństwa NYDFS wymagania bezpieczeństwa dla usług finansowych w Nowym Jorku. Podobnie jak europejskie ogólne rozporządzenie o ochronie danych (RODO), przepisy te mają na celu ochronę danych obywateli poprzez utrzymywanie spółek zgodnie z określonym standardem. W tym przypadku standardy te pochodzą głównie z ramy cyberbezpieczeństwa NIST.
Zgodnie z tymi przepisami nowojorskie firmy finansowe muszą:
- Okresowo sprawdzaj bezpieczeństwo swoich systemów informatycznych i prywatność danych.
- Rejestruj zdarzenia związane z cyberbezpieczeństwem i przechowuj je przez pięć lat.
- Mają zasady i procedury bezpiecznego usuwania danych osobowych, których już nie potrzebują.
- Ogranicz dostęp do informacji umożliwiających identyfikację osoby (PII) i regularnie przeglądaj te uprawnienia.
- Mieć szczegółowy pisemny plan o wykrywaniu, reagowaniu i odzyskiwaniu po incydentach cyberbezpieczeństwa.
- Powiadom NYDFS w ciągu 72 godzin od zdarzenia związanego z cyberbezpieczeństwem.
W przeciwieństwie do niektórych podobnych przepisów, rozporządzenie NYDFS w sprawie cyberbezpieczeństwa zawiera szczegółowe wskazówki dotyczące tego, z czego powinny składać się te plany bezpieczeństwa i raportowania. Wymaga również od firm zapewnienia bezpieczeństwa ich stronom trzecim, a nie tylko ich wewnętrznych operacji.
Te wymagania sprawiają, że rozporządzenie to jest jednym z najszerszych i najostrzejszych w każdym państwie. Firmy, które je naruszają, mogą zostać ukarane wysokimi grzywnami, ale pełny zakres kar jest nadal niejasny.
Kogo dotyczy rozporządzenie NYDFS w sprawie cyberbezpieczeństwa?
Regulacja cyberbezpieczeństwa NYDFS dotyczy każdej osoby lub podmiotu która wymaga licencji od NYDFS. Obejmuje to firmy finansowe i ubezpieczeniowe w Nowym Jorku, w tym:
- Banki.
- Unie kredytowe.
- Firmy inwestycyjne.
- Licencjonowani pożyczkodawcy.
- Brokerzy kredytów hipotecznych.
- Dostawcy ubezpieczeń.
- Kasy oszczędnościowo-pożyczkowe.
Podmioty te obejmują lokalne firmy i firmy zagraniczne, które mają licencję na pracę w Nowym Jorku. Na przykład, mimo że Deutsche Bank jest spółką niemiecką, od tego czasu musi przestrzegać 23 NYCRR Part 500 działa w Nowym Jorku.
Istnieje kilka wyjątków od tej listy. Firmy zatrudniające mniej niż 10 pracowników, mające mniej niż 5 milionów dolarów rocznego przychodu z Nowego Jorku w ciągu ostatnich trzech lat lub mniej niż 10 milionów dolarów łącznych aktywów na koniec roku są zwolnione z podatku. Podobnie firmy, które nie przechowują ani nie przetwarzają prywatnych informacji, ale jest to mało prawdopodobne w przypadku firmy świadczącej usługi finansowe.
Co oznacza dla Ciebie rozporządzenie w sprawie cyberbezpieczeństwa?
Jeśli mieszkasz lub prowadzisz bank w stanie Nowy Jork, Twoja instytucja prawdopodobnie podlega tym przepisom. Nawet jeśli tego nie zrobisz, przepisy dotyczące cyberbezpieczeństwa NYDFS mogą nadal mieć zastosowanie do Twojego banku. Jeśli ma oddział działający w stanie i spełnia wymogi finansowe, będzie musiał się do tego dostosować.
Jako klient banku nie musisz podejmować żadnych kroków zgodnie z tymi wymaganiami. Możesz jednak zauważyć pewne zmiany w sposobie działania Twojej instytucji finansowej lub ubezpieczyciela. Być może będziesz musiał zastosować dodatkowe kroki bezpieczeństwa, takie jak uwierzytelnianie wieloskładnikowe (MFA) lub dostosować swoje uprawnienia, ponieważ te firmy poprawić swoje środki bezpieczeństwa cybernetycznego.
Ramy Cyberbezpieczeństwa NIST, które zainspirowały te zasady, obejmuje terminowe udostępnianie informacji, co może mieć na Ciebie wpływ. Jeśli zdarzy się wypadek w Twoim banku lub ubezpieczycielu, być może będą musieli Cię o tym powiadomić. Prawdopodobnie nie będziesz musiał nic robić w odpowiedzi, ale możesz oczekiwać, że otrzymasz tego typu wiadomości.
Nawet jeśli nie masz żadnych zobowiązań prawnych w ramach 23 NYCRR Part 500, najlepiej zachowaj ostrożność w odniesieniu do swoich informacji finansowych. Zawsze używaj unikalnych, silnych haseł, w miarę możliwości włączaj usługę MFA i nigdy nie podawaj informacji umożliwiających identyfikację nieznanemu źródłu. Surowość tych przepisów podkreśla, jak ważne są te kwestie, więc zachowaj ostrożność.
Rządy traktują cyberbezpieczeństwo poważniej
Rozporządzenie NYDFS w sprawie cyberbezpieczeństwa jest jednym z wielu ostatnich przykładów lokalnych samorządów wydających przepisy dotyczące cyberbezpieczeństwa. Ponieważ narzędzia cyfrowe stają się coraz powszechniejsze w życiu codziennym, zasady te będą tylko rosnąć.
Zarówno konsumenci, jak i firmy powinni być na bieżąco z tymi przepisami, aby upewnić się, że są one zgodne. Te zmiany mogą początkowo wydawać się komplikować, ale są niezbędnym krokiem w kierunku lepszego bezpieczeństwa.
Twoje konta w mediach społecznościowych i smartfony gromadzą dane o Tobie, a informacje te mogą być wykorzystywane przez agencje rządowe. Oto jak i dlaczego.
Czytaj dalej
- Bezpieczeństwo
- Bezpieczeństwo cybernetyczne
- Prywatność w Internecie
- Ochrona danych
Shannon jest twórcą treści z siedzibą w Philly, PA. Pisze w branży technologicznej od około 5 lat po ukończeniu studiów na kierunku informatyka. Shannon jest redaktorem naczelnym magazynu ReHack i zajmuje się tematami takimi jak cyberbezpieczeństwo, gry i technologia biznesowa.
Zapisz się do naszego newslettera
Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Kliknij tutaj, aby zasubskrybować
