So helfen die Lösungen von Thales bei der Einhaltung des NAIC Data Security Law
Das von der National Association of Insurance Commissioners (NAIC) verabschiedete Data Security Law (Model Law) verpflichtet Versicherer und andere von den bundesstaatlichen Versicherungsbehörden zugelassene Unternehmen, ein Informationssicherheitsprogramm zu entwickeln, umzusetzen und aufrechtzuerhalten, alle Cybersicherheitsvorfälle zu untersuchen und den bundesstaatlichen Versicherungskommissar über Vorfälle in diesem Zusammenhang zu informieren. Das NAIC-Modellgesetz ist eine Vorlage für die Gesetze der einzelnen Bundesstaaten zur Regulierung von Versicherungsunternehmen. Zu den wichtigsten Empfehlungen des Gesetzes gehören:
Das Gesetz gilt für die Lizenznehmer der einzelnen bundesstaatlichen Versicherungsbüros. Dazu gehören (mit einigen Ausnahmen) Unternehmen der Versicherungsbranche, Agenturen, Vertreter, Schadensregulierer und Makler.
Die National Association of Insurance Commissioners hat das Data Security Law im vierten Quartal 2017 offiziell verabschiedet. Bis Mai 2023 haben 22 Bundesstaaten das Gesetz in Kraft gesetzt: Alabama, Alaska, Connecticut, Delaware, Hawaii, Indiana, Iowa, Kentucky, Louisiana, Maine, Maryland, Michigan, Minnesota, Mississippi, New Hampshire, North Dakota, Ohio, South Carolina, Tennessee, Vermont, Virginia und Wisconsin.
Die vorgeschlagenen Strafen für die Nichteinhaltung des NAIC Data Security Law belaufen sich auf bis zu 500 US-Dollar pro Verstoß (bis zu einem Höchstbetrag von 10.000 US-Dollar). Verstößt der Versicherer/Produzent gegen die Unterlassungsverfügung des Kommissars, betragen die vorgeschlagenen Strafen bis zu 10.000 US-Dollar pro Verstoß (bis zu einem Höchstbetrag von 50.000 US-Dollar). Einzelpersonen in diesen Einrichtungen können für jeden Verstoß mit einer Geldstrafe von bis zu 10.000 US-Dollar belegt und zu einer Haftstrafe von bis zu fünf Jahren verurteilt werden.
Thales unterstützt Unternehmen bei der Einhaltung des NAIC Data Security Law , indem es die wesentlichen Anforderungen an das Risikomanagement im Rahmen des von der NAIC vorgeschriebenen Informationssicherheitsprogramms eines Unternehmens angeht.
Der Lizenznehmer ist verpflichtet, ein Informationssicherheitsprogramm zu entwickeln, umzusetzen und zu pflegen, das administrative, technische und physische Maßnahmen für den Schutz nicht öffentlicher Informationen und des Informationssystems des Lizenznehmers enthält.
Teil D. 1:
„Sein Informationssicherheitsprogramm so gestalten, dass die identifizierten Risiken gemindert werden … einschließlich der Inanspruchnahme von Drittanbietern.“
CipherTrust Cloud Key Manager kann die Drittanbieterrisiken reduzieren, indem er die zum Schutz von sensiblen Daten, die von Drittanbietern in der Cloud im Rahmen von „Bring Your Own Keys“-Systemen (BYOK) gehostet werden, eingesetzten Schlüssel on-premises unter der vollständigen Kontrolle des Finanzunternehmens verwaltet.
CipherTrust Transparent Encryption bietet eine vollständige Trennung der administrativen Rollen, sodass nur autorisierte Nutzer und Prozesse unverschlüsselte Daten einsehen können. Sofern kein triftiger Grund für den Zugriff auf die Daten vorliegt, sind sensible Daten, die in einer Cloud eines Drittanbieters gespeichert sind, für unbefugte Nutzer nicht im Klartext zugänglich.
Thales Data Security bietet das umfassendste Spektrum an Datenschutzlösungen, wie Thales Data Protection on Demand (DPoD), das integrierte Hochverfügbarkeit und Backups über die Cloud-basierten Luna Cloud HSM- und CipherTrust Key Management-Dienste sowie die HSE Network Encryption Appliances, die Optionen zur Zeroisierung bieten.
Teil D. 2, a:
„Zugangskontrollen für Informationssysteme einrichten, … vor der unbefugten Erlangung von nicht öffentlichen Informationen schützen.“
Die Identitäts- und Zugriffsmanagementlösungen von Thales OneWelcome beschränken den Zugriff interner und externer Benutzer auf der Grundlage ihrer Rollen und ihres Kontexts. Durch starke Authentifizierung (MFA), granulare Zugriffsrichtlinien und fein abgestufte Autorisierungsrichtlinien wird sichergestellt, dass der richtige Benutzer zur richtigen Zeit Zugriff auf die richtige Ressource erhält, wodurch das Risiko eines unbefugten Zugriffs minimiert wird.
Das Thales OneWelcome Consent & Preference Management-Modul ermöglicht es Unternehmen, die Zustimmung von Endverbrauchern einzuholen, sodass Finanzunternehmen einen klaren Überblick über die zugestimmten Daten haben und so den Zugriff auf die Daten, die sie nutzen dürfen, verwalten können.
CipherTrust Transparent Encryption verschlüsselt sensible Daten und gewährleistet granulare Richtlinien für die Verwaltung des privilegierten Benutzerzugriffs, die nach Benutzer, Prozess, Dateityp, Tageszeit und anderen Parametern angewendet werden können. Es bietet eine vollständige Trennung der Rollen, sodass nur autorisierte Nutzer und Prozesse unverschlüsselte Daten einsehen können.
Teil D. 2, b:
„Die Daten identifizieren und verwalten, … die es dem Unternehmen ermöglichen, seine Geschäftsziele zu erreichen …“
CipherTrust Data Discovery and Classification erkennt strukturierte sowie unstrukturierte Daten on-premises und in der Cloud. Integrierte Templates ermöglichen eine schnelle Identifizierung regulierter Daten, machen Cybersicherheitsrisiken sichtbar und tragen dazu bei, Lücken bei der Einhaltung von Bestimmungen aufzudecken.
Teil D. 2, d:
„Alle nicht öffentlichen Informationen durch Verschlüsselung oder andere geeignete Mittel schützen, während sie über ein externes Netzwerk übertragen werden, sowie alle nicht öffentlichen Informationen, die auf einem Laptop oder einem anderen tragbaren Computer oder Speichermedium gespeichert sind.“
Schutz von Data-at-Rest:
CipherTrust Data Security Platform bietet mehrere Funktionen zum Schutz von Data-at-Rest in Dateien, Volumes und Datenbanken. Dazu gehören:
Schutz von Schlüsseln und Zertifikaten:
Luna Hardware Security Models (HSMs) schützen kryptografische Schlüssel und bieten eine nach FIPS 140-2 Level 3 gehärtete, manipulationssichere Umgebung für sichere kryptografische Verarbeitung, Schlüsselerzeugung und -schutz, Verschlüsselung und mehr. Luna HSMs sind on-premises, in der Cloud (as-a-Service) und in hybriden Umgebungen verfügbar.
Schutz von Data-in-Motion:
High Speed Encryptors (HSE) von Thales bieten eine netzwerkunabhängige Verschlüsselung für Data-in-Motion (Layer 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet. Mit unseren Lösungen zur Netzwerkverschlüsselung bieten Kunden einen besseren Schutz von Daten, Videos, Anrufen und Metadaten vor Lauschangriffen, Überwachung und offenem und verborgenen Abfangen – ohne dass Abstriche bei der Leistung gemacht werden müssen.
Teil D. 2, e:
„Sichere Entwicklungspraktiken für intern entwickelte Anwendungen einführen …“
CipherTrust Platform Community Edition macht es DevSecOps leicht, Datenschutzkontrollen in hybriden und Multi-Cloud-Anwendungen zu implementieren. Die Lösung umfasst Lizenzen für CipherTrust Manager Community Edition, Data Protection Gateway und CipherTrust Transparent Encryption für Kubernetes.
CipherTrust Secrets Management ist eine hochmoderne Lösung für das Secrets-Management. Sie schützt und automatisiert den Zugriff auf Secrets über DevOps-Tools und Cloud-Workloads hinweg, einschließlich Secrets, Anmeldeinformationen, Zertifikaten, API-Schlüsseln und Token.
Teil D. 2, g:
„Wirksame Kontrollmaßnahmen verwenden, zu denen auch die Multi-Faktor-Authentifizierung gehören kann …“
SafeNet Trusted Access ist eine Cloud-basierte Zugriffsverwaltungslösung, die kommerzielle, handelsübliche Multi-Faktor-Authentifizierung mit einer breiten Palette von Hardware- und Software-Authentifizierungsmethoden und Formfaktoren für die Cybersicherheit bietet.
Teil D. 2, i:
„Audit-Trails in das Informationssicherheitsprogramm aufnehmen, um Cybersicherheitsvorfälle zu erkennen und darauf zu reagieren.“
Die Data Security Solutions von Thales führen alle umfangreiche Zugriffsprotokolle und verhindern unberechtigten Zugriff. Insbesondere die Sicherheitsprotokolle und -berichte von CipherTrust Transparent Encryption optimieren die Compliance-Berichterstattung und beschleunigen die Reaktion auf Cybersicherheitsvorfälle mithilfe führender SIEM-Systeme (Security Information and Event Management).
Darüber hinaus hält CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) auf Prozessbasis Ausschau nach anormalen E/A-Aktivitäten bei Dateien, die geschäftskritische Daten enthalten. Es ermöglicht Administratoren, verdächtige Aktivitäten zu erkennen und zu blockieren, bevor Ransomware Ihre Endpunkte/Server befallen kann. Außerdem schützt es vor Ransomware, selbst wenn die Ransomware vor CTE-RWP installiert wurde.
SafeNet Trusted Access ermöglicht es Unternehmen, auf Datenschutzverletzungen zu reagieren und Risiken zu minimieren, indem es einen sofortigen, aktuellen Audit-Trail für alle Zugriffsereignisse auf alle Systeme bereitstellt.
Teil D. 2, k:
„Verfahren für die sichere Vernichtung von nicht öffentlichen Informationen in jedem Format entwickeln, implementieren und pflegen.“
Die Verschlüsselungs- und Tokenisierungslösungen der CipherTrust Data Security Platform basieren auf kryptografischen Schlüsseln zur Ver- und Entschlüsselung von Daten. Das bedeutet, dass Sie Daten selektiv „zerstören“ können, indem Sie einfach die Verschlüsselungsschlüssel für diese Daten vernichten.
Discover how Thales solutions support NAIC compliance with data security measures like encryption, identity management, and audit trails for insurance providers. The National Association of Insurance Commissioners (NAIC) Data Security Law (Model Law) requires insurers...
This eBook covers some of the most important regulations affecting Financial Services organizations in the United States and how Thales cybersecurity solutions help meet requirements for risk management, data privacy, access management and much more. Included regulations:...
Die DSGVO ist vielleicht die bisher umfassendste Datenschutznorm und betrifft jede Organsation, die personenbezogene Daten von EU-Bürgern verarbeitet - unabhängig davon, wo die Organisation ihren Sitz hat.
Jede Organisation, die eine Rolle bei der Verarbeitung von Kredit- und Debitkartenzahlungen spielt, muss die strengen PCI-DSS-Anforderungen für die Verarbeitung, Speicherung und Übermittlung von Konteninformationen erfüllen.
Vorschriften zur Benachrichtigung bei Datenschutzverletzungen nach dem Verlust personenbezogener Daten wurden von Ländern rund um den Globus erlassen. Sie variieren je nach Gerichtsbarkeit, enthalten aber fast immer eine "Safe-Harbour"-Klausel.
