2017 májusában a New York-i Állami Pénzügyi Szolgáltatások Minisztériuma (NYDFS) kiadta a 23 NYCRR Part 500-at, egy új kiberbiztonsági szabályt. Ez a szabályozás most már teljes mértékben érvényben van, de hogy pontosan miről van szó, azt nem lehet tudni.
A bejelentés óta ez a követelményrendszer néhány változáson ment keresztül, a jogi nyelvezet pedig homályos lehet. Mi az NYDFS kiberbiztonsági szabályozása, és hogyan érinti Önt? Nézzük meg közelebbről.
Mi az NYDFS kiberbiztonsági szabályozása?
Az NYDFS kiberbiztonsági szabályozása felsorolja pénzügyi szolgáltatásokra vonatkozó biztonsági követelmények New York-ban. Az európai általános adatvédelmi rendelethez (GDPR) hasonlóan ezeknek a szabályoknak az a célja, hogy megvédjék a polgárok adatait azáltal, hogy a társaságok egy meghatározott szabványnak megfelelnek. Ebben az esetben ezek a szabványok többnyire innen származnak a NIST Cybersecurity Framework.
E szabályozás értelmében a New York-i pénzügyi társaságoknak:
- Rendszeresen ellenőrizze IT-rendszereik biztonságát és adatvédelmét.
- Rögzítse a kiberbiztonsági eseményeket, és őrizze meg ezeket a feljegyzéseket öt évig.
- Rendelkeznek irányelvekkel és eljárásokkal a már nem szükséges személyes adatok biztonságos törlésére.
- Korlátozza a hozzáférést a személyazonosításra alkalmas adatokhoz (PII), és rendszeresen ellenőrizze ezeket a jogosultságokat.
- Legyen részletes írásos terved a kiberbiztonsági incidensek felfedezéséről, reagálásáról és az azokból való felépülésről.
- Értesítse az NYDFS-t a kiberbiztonsági eseményt követő 72 órán belül.
Néhány hasonló törvénytől eltérően az NYDFS kiberbiztonsági szabályozása részletes utasításokat tartalmaz arra vonatkozóan, hogy ezeknek a biztonsági és jelentési terveknek miből kell állniuk. Azt is megköveteli a vállalatoktól, hogy biztosítsák harmadik feleik biztonságát, nem csak a belső működésüket.
Ezek a követelmények ezt a szabályozást az egyik legszélesebb körű és legszigorúbb állammá teszik. Az ezeket megsértő vállalkozások súlyos pénzbírságra számíthatnak, de a szankciók teljes mértéke még nem tisztázott.
Kikre vonatkozik az NYDFS kiberbiztonsági rendelete?
Az NYDFS kiberbiztonsági szabályozása bármely személyre vagy szervezetre vonatkozik ehhez engedélyre van szüksége az NYDFS-től. Ez magában foglalja a New York-i pénzügyi és biztosító társaságokat, beleértve:
- Bankok.
- Hitelszövetkezetek.
- Befektetési társaságok.
- Engedélyezett hitelezők.
- Jelzáloghitel-brókerek.
- Biztosítók.
- Takarék- és kölcsönszövetkezetek.
Ezek közé tartoznak a helyi vállalkozások és a New York-i munkavállalásra engedéllyel rendelkező külföldi cégek. Például annak ellenére, hogy a Deutsche Bank német vállalat, meg kell felelnie a 23 NYCRR Part 500 előírásainak, mivel New Yorkban működik.
Van néhány kivétel ez alól a listából. Azok a vállalatok, amelyek kevesebb mint 10 alkalmazottat foglalkoztatnak, éves bevételük kevesebb, mint 5 millió dollár New Yorkból az elmúlt három évben, vagy kevesebb mint 10 millió dollár teljes év végi vagyonnal rendelkeznek. Ilyenek azok a vállalkozások is, amelyek nem tárolnak vagy dolgoznak fel személyes adatokat, de ez nem valószínű egy pénzügyi szolgáltató cégnél.
Mit jelent az Ön számára a kiberbiztonsági szabályozás?
Ha Ön New York államban él vagy bankja, intézményére valószínűleg ezek a szabályozások vonatkoznak. Még ha nem is, az NYDFS kiberbiztonsági szabályozása továbbra is vonatkozhat az Ön bankjára. Ha van fióktelepe az államban, és megfelel a pénzügyi követelményeknek, akkor meg kell felelnie.
A bank ügyfeleként Önnek semmilyen lépést nem kell tennie ezen követelmények értelmében. Előfordulhat azonban, hogy változást tapasztal a pénzintézete vagy biztosítója működésében. Előfordulhat, hogy további biztonsági lépéseket kell alkalmaznia, például többtényezős hitelesítést (MFA), vagy módosítania kell az engedélyeket, mint ezek a vállalatok javítsák kiberbiztonsági intézkedéseiket.
A NIST Cybersecurity Framework, amely ihlette ezeket a szabályokat, időszerű információmegosztást tartalmaz, ami hatással lehet Önre. Ha a banknál vagy a biztosítónál incidens történik, előfordulhat, hogy értesíteniük kell Önt. Valószínűleg semmit sem kell tennie válaszul, de számíthat arra, hogy ilyen típusú üzeneteket fog kapni.
Még ha nincs is semmilyen jogi kötelezettsége a NYCRR 23 Part 500 értelmében, a legjobb, ha óvatosan kezeli pénzügyi adatait. Mindig használjon egyedi, erős jelszavakat, lehetőség szerint engedélyezze az MFA-t, és soha ne adja át a személyazonosításra alkalmas adatokat ismeretlen forrásnak. A szabályok szigorúsága rávilágít arra, hogy ezek a kérdések mennyire fontosak, ezért legyen óvatos.
A kormányok komolyabban veszik a kiberbiztonságot
Az NYDFS kiberbiztonsági szabályozása egyike annak a sok új példának, amikor a helyi önkormányzatok kiberbiztonsági törvényeket adnak ki. Ahogy a digitális eszközök egyre gyakoribbá válnak a mindennapi életben, ezek a szabályok csak növekedni fognak.
A fogyasztóknak és a vállalkozásoknak egyaránt naprakésznek kell lenniük ezekkel a szabályozásokkal kapcsolatban, hogy megbizonyosodjanak arról, hogy megfelelnek az előírásoknak. Ezek a változtatások elsőre úgy tűnhetnek, hogy bonyolítják a dolgokat, de szükséges lépést jelentenek a jobb biztonság felé.
Közösségi médiafiókjai és okostelefonjai adatokat gyűjtenek Önről, és ezeket az információkat a kormányzati szervek felhasználhatják. Íme, hogyan és miért.
Olvassa el a következőt
- Biztonság
- Kiberbiztonság
- Online adatvédelem
- Adatbiztonság
Shannon egy tartalomkészítő Phillyben, PA. Körülbelül 5 éve ír a műszaki területen, miután informatikai diplomát szerzett. Shannon a ReHack Magazine ügyvezető szerkesztője, és olyan témákkal foglalkozik, mint a kiberbiztonság, a játék és az üzleti technológia.
Iratkozzon fel hírlevelünkre
Csatlakozzon hírlevelünkhöz műszaki tippekért, ismertetőkért, ingyenes e-könyvekért és exkluzív ajánlatokért!
Kattintson ide az előfizetéshez