bg-intro-1-banner

Cumplimiento de la Ley Modelo de Seguridad de Datos de Seguros de NAIC

Cumplimiento de la Ley Modelo de Seguridad de Datos de Seguros de NAIC

Prueba

Adoptada en el cuarto trimestre de 2017, la Ley Modelo de Seguridad de Datos de la Asociación Nacional de Comisionados de Seguros (NAIC) (Ley Modelo) 1 requiere que las aseguradoras y otras entidades autorizadas por los departamentos de seguros estatales desarrollen, implementen y mantengan un programa de seguridad de la información; investigar cualquier evento de ciberseguridad; y notificar al comisionado de seguros del estado de tales eventos.

Los estados están trabajando para introducir y aprobar esta legislación ahora y entendemos que el Departamento del Tesoro de los Estados Unidos impondrá la Ley Modelo si los estados no la adoptan dentro de cinco años.

Thales proporciona muchas de las soluciones que necesita para cumplir con los requisitos de la Ley Modelo de Seguridad de Datos de Seguros.

  • Regulación
  • Cumplimiento

Resumen de la regulación

Según la Sección 2 de la ley:

El propósito y la intención de esta Ley es establecer estándares para la seguridad de los datos y estándares para la investigación y notificación al Comisionado de un Evento de Ciberseguridad aplicable a los Licenciatarios, como se define en la Sección 3.

La Sección 3 define al "Licenciatario" de la siguiente manera:

"Titular de la licencia" significa cualquier persona con licencia, autorizada para operar o registrada, o que deba tener licencia, autorización o registro de conformidad con las leyes de seguros de este estado. ...

La sección 3 también señala:

“Evento de ciberseguridad” significa un evento que resulta en el acceso no autorizado, interrupción o uso indebido de un Sistema de información o información almacenada en dicho Sistema de información.

El término "Evento de ciberseguridad" no incluye la adquisición no autorizada de Información privada cifrada si el cifrado, el proceso o la clave no se adquieren, divulgan o utilizan sin autorización.

La manera en que Thales puede ayudar

A continuación, presentamos extractos específicos de La Ley Modelo con los que Thales puede ayudarle a su organización a cumplir

Sección 4. Programa de seguridad de la información

D. Gestión del riesgo

Con base en su Evaluación de Riesgos, el Licenciatario deberá:

(2) Determinar qué medidas de seguridad enumeradas a continuación son apropiadas e implementar dichas medidas de seguridad.

(a) Colocar controles de acceso en los sistemas de información, incluidos los controles para autenticar y permitir el acceso solo a las personas autorizadas para proteger contra la adquisición no autorizada de información no pública;

(d) Proteger mediante el cifrado u otros medios apropiados, toda la Información no pública mientras se transmite a través de una red externa y toda la Información no pública almacenada en una computadora portátil u otra computadora portátil o dispositivo o medio de almacenamiento;

(e) Adoptar prácticas de desarrollo seguras para aplicaciones desarrolladas internamente utilizadas por el Licenciatario …;

(g) Utilizar controles efectivos, que pueden incluir procedimientos de autenticación de múltiples factores para cualquier individuo que acceda a información no pública;

(i) Incluir registros de auditoría dentro del Programa de seguridad de la información diseñado para detectar y responder a eventos de seguridad cibernética …;

(k) Desarrollar, implementar y mantener procedimientos para la eliminación segura de información no pública en cualquier formato.

Sección 5. Investigación del evento de ciberseguridad

Si el Licenciatario se entera de que ha ocurrido o puede haber ocurrido un Evento de Ciberseguridad, el Licenciatario o un proveedor externo y/o proveedor de servicios designado para actuar en nombre del Licenciatario, deberá llevar a cabo una investigación inmediata.

  1. https://content.naic.org/sites/default/files/inline-files/MDL-668.pdf?39

Resumen del cumplimiento

Thales puede ayudarlo a cumplir con muchos de los requisitos para la Ley Modelo a través de las siguientes opciones:

Sección 4 D 2 (a) y (g) Colocar controles de acceso en los sistemas de información

El administrador de Thales CipherTrust Manager, le permite a la organización limitar el acceso de los usuarios a los sistemas de información que incluyen información no pública.

Sección 4 D 2 (d) Proteger mediante el cifrado u otros medios apropiados, toda la Información no pública

La solución Vormetric Transparent Encryption de Thales protege los datos con cifrado de archivo y datos en reposo a nivel de volumen, controles de acceso y registro de auditorías de acceso sin volver a diseñar aplicaciones, bases de datos ni infraestructura. El empleo del software de cifrado de datos transparente es simple, rápido y escalable, con agentes instalados sobre el sistema de archivos en servidores o máquinas virtuales para aplicar las políticas de cumplimiento y seguridad de datos. La administración de las políticas y cifrado de claves se da por medio del CipherTrust Manager.

CipherTrust Tokenization les permite a los administradores establecer políticas para devolver un campo completo tokenizado o enmascarar dinámicamente partes de un campo. Con las capacidades de tokenización de la solución que preservan el formato, los administradores pueden restringir el acceso a activos confidenciales al tiempo que formatea los datos protegidos de una manera que les permita a los usuarios hacer su trabajo.

(e) Adoptar prácticas de desarrollo seguras para aplicaciones desarrolladas internamente

Diseñado para proveedores de software de todos los tamaños y para empresas que desarrollan su propio código, la solución de firma de código de Thales le permite implementar procesos de firma de código de alta seguridad y alta eficiencia para proteger su software de alteraciones y llevar la gobernanza adecuada a sus prácticas de publicación de software.

Sección 4 D 2 (i) Incluir registros de auditoría; y Sección 5. Investigación del evento de ciberseguridad

CipherTrust Data Security Platform incluye los registros de Security Intelligence Logs que generan registros de auditoría diseñados para detectar y responder a eventos de ciberseguridad que tienen una probabilidad razonable de dañar materialmente cualquier parte material de las operaciones normales de la empresa. Estos registros también permiten la investigación de eventos de ciberseguridad.

Sección 4 D 2 (k) Desarrollar, implementar y mantener procedimientos para la eliminación segura de información no pública en cualquier formato.

Todas las soluciones de cifrado y tokenización de Thales se basan en claves criptográficas para cifrar y descifrar datos. Esto significa que puede "destruir" datos de forma selectiva simplemente destruyendo las claves de cifrado de esos datos.

Trabajar con usted

Thales puede trabajar con usted y sus proveedores de servicios externos para garantizar que su seguridad cumpla con sus propios estándares rigurosos. Thales cuenta con productos y servicios de ciberseguridad especializados para empresas que utilizan la nub, SaaS y otros servicios de terceros. Estos incluyen cifrado de múltiples nubes con clave centralizada y administración de control de acceso, así como administración y protección de las claves de la nube.

  • Recursos relacionados
  • Otras normativas clave de protección de datos y seguridad

    RGPD

    REGLAMENTO
    ACTIVA AHORA

    El RGPD es tal vez la norma de privacidad de datos más completa hasta la fecha. Afecta a cualquier organización que procese los datos personales de los ciudadanos de la UE, independientemente de la ubicación de la sede de la organización.

    PCI DSS

    MANDATO
    ACTIVA AHORA

    Cualquier organización que desempeñe un papel en el procesamiento de pagos con tarjetas de crédito y débito debe cumplir con los estrictos requisitos de cumplimiento de PCI DSS para el procesamiento, el almacenamiento y la transmisión de datos de cuentas.

    Leyes de notificación de brechas de datos

    REGLAMENTO
    ACTIVA AHORA

    Los países de todo el mundo han promulgado requisitos de notificación de brechas de datos tras la pérdida de información personal. Varían según la jurisdicción, pero casi siempre incluyen una cláusula de "safe harbour".