Thales banner

Cumplimiento de la Ley de Seguridad de Datos de la NAIC

Cómo las soluciones de Thales ayudan con el cumplimiento de la Ley de Seguridad de Datos de la Asociación Nacional de Comisionados de Seguros

Ley de seguridad de datos de la NAIC

Continente americano

La Ley de Seguridad de Datos de la Asociación Nacional de Comisionados de Seguros (NAIC) (Ley Modelo) requiere que las aseguradoras y otras entidades autorizadas por los departamentos de seguros estatales desarrollen, implementen y mantengan un programa de seguridad de la información; investigar cualquier evento de ciberseguridad; y notificar al comisionado de seguros del estado de tales eventos. La ley modelo de la NAIC proporciona un modelo para las leyes estatales que regulan las compañías de seguros. Entre las principales recomendaciones de la ley figuran:

  • Desarrollar un programa escrito de seguridad de la información
  • Asignar la responsabilidad de la seguridad de la información
  • Realizar evaluaciones periódicas de los riesgos
  • Implantar salvaguardias clave de ciberseguridad
  • Preparar planes y procedimientos de respuesta a incidentes
  • Supervisar e informar periódicamente sobre la situación del programa
  • Implantar la supervisión de los proveedores de servicios
  • Supervisar a nivel del Consejo

¿Qué empresas están sujetas a la Ley de Seguridad de Datos de la Asociación Nacional de Comisionados de Seguros?

La ley se aplica a los licenciatarios de cada oficina de seguros estatal. Esto incluye (con algunas excepciones) a las compañías, agencias, agentes, peritos públicos y corredores del sector de los seguros.

¿Cuándo entró en vigor la Ley de Seguridad de Datos de la Asociación Nacional de Comisionados de Seguros?

La Asociación Nacional de Comisionados de Seguros adoptó oficialmente la Ley de Seguridad de Datos en el cuarto trimestre de 2017. En mayo de 2023, 22 estados han promulgado versiones de la ley: Alabama, Alaska, Connecticut, Delaware, Hawai, Indiana, Iowa, Kentucky, Luisiana, Maine, Maryland, Míchigan, Minnesota, Misisipi, Nuevo Hampshire, Dakota del Norte, Ohio, Carolina del Sur, Tennessee, Vermont, Virginia y Wisconsin.

¿Cuáles son las sanciones por incumplimiento de la Ley de Seguridad de Datos de la Asociación Nacional de Comisionados de Seguros?

Las sanciones sugeridas por incumplimiento de la Ley de Seguridad de Datos de la Asociación Nacional de Comisionados de Seguros son de hasta 500 dólares por infracción (sujetas a un máximo de 10 000 dólares). Si el asegurador/productor incumple la orden de cese y desistimiento del comisario, se sugieren sanciones de hasta 10 000 dólares por infracción (sujetas a un máximo de 50 000 dólares). Las personas que trabajan en esas instituciones pueden ser multadas con hasta 10 000 dólares por cada infracción y también pueden ser condenadas a penas de hasta cinco años de prisión.

Cómo Thales puede ayudar con el cumplimiento de la Ley de Seguridad de Datos de la Asociación Nacional de Comisionados de Seguros

Thales ayuda a las organizaciones a cumplir la Ley de Seguridad de Datos de la Asociación Nacional de Comisionados de Seguros encargándose de los requisitos esenciales para la gestión de riesgos en el Programa de Seguridad de la Información de una organización exigido por la Asociación Nacional de Comisionados de Seguros.

Sección 4 de la Ley de Seguridad de los Datos de la Asociación Nacional de Comisionados de Seguros. Programa de seguridad de la información

El Licenciatario desarrollará, implementará y mantendrá un Programa de Seguridad de la Información que contenga salvaguardas administrativas, técnicas y físicas para la protección de la Información No Pública y el Sistema de Información del Licenciatario.

Thales ayuda a las organizaciones de la siguiente forma:

  • Reduciendo el riesgo de terceros
  • Controlando el acceso a los datos confidenciales y a los sistemas de información
  • Identificando y gestionando los datos sensibles
  • Cifrado de datos en reposo y en movimiento
  • Garantizar el desarrollo de aplicaciones
  • Implementación de la autenticación multifactor
  • Supervisión y auditoría de la actividad
  • Eliminación de información no pública

Requisito de la Asociación Nacional de Comisionados de Seguros:

Parte D. 1:

"Diseñar su programa de seguridad de la información para mitigar los riesgos identificados (...) incluyendo su uso de proveedores externos de servicios"

Soluciones de Thales:

CipherTrust Cloud Key Manager puede reducir los riesgos de terceros manteniendo in situ, bajo el pleno control de la entidad financiera, las claves que protegen los datos confidenciales alojados por terceros proveedores en la nube bajo sistemas "Bring Your Own Keys" (BYOK).

CipherTrust Transparent Encryption proporciona una separación completa de roles administrativos en la que solo los usuarios y procesos autorizados pueden ver los datos no cifrados. A menos que se proporcione una razón válida para acceder a los datos, los datos sensibles almacenados en una nube de terceros no serán accesibles en texto claro a usuarios no autorizados.

Las soluciones de seguridad de datos de Thales ofrecen la gama más completa de protección de datos, como Thales Data Protection on Demand (DPoD) que proporciona alta disponibilidad y copia de seguridad incorporadas a sus servicios basados en la nube Luna Cloud HSM y CipherTrust Key Management, hasta los dispositivos de cifrado de red HSE que ofrecen opciones de reducción a cero.

Parte D. 2, a:

"Colocar controles de acceso en los Sistemas de Información, (...) proteger contra la adquisición no autorizada de Información No Pública;"

Las soluciones de gestión de identidades y accesos OneWelcome de Thales limitan el acceso de los usuarios internos y externos en función de sus funciones y contexto. Respaldadas por una autenticación robusta (MFA), las políticas de acceso granular y las políticas de autorización de grano fino ayudan a garantizar que el usuario adecuado tenga acceso al recurso adecuado en el momento adecuado, minimizando así el riesgo de acceso no autorizado.

El módulo Thales OneWelcome Consent & Preference Management permite a las organizaciones recopilar el consentimiento de los consumidores finales para que las instituciones financieras puedan tener una visibilidad clara de los datos consentidos, lo que les permite gestionar el acceso a los datos que están autorizados a utilizar.

CipherTrust Transparent Encryption cifra los datos sensibles y refuerza las políticas detalladas de gestión de usuarios con acceso a información privilegiada que se pueden aplicar por usuario, proceso, tipo de archivo, hora y otros parámetros. Proporciona una separación completa de roles en la que solo los usuarios y procesos autorizados pueden ver los datos no cifrados.

Parte D. 2, b:

"Identificar y gestionar los datos (...) que permiten a la organización alcanzar los objetivos empresariales..."

CipherTrust Data Discovery and Classification identifica eficazmente los datos confidenciales estructurados y no estructurados en las instalaciones y en la nube. Las plantillas integradas permiten la rápida identificación de datos regulados, resaltan riesgos de ciberseguridad y ayudan a desvelar deficiencias de cumplimiento.

Parte D. 2, d:

"Proteger mediante el cifrado u otros medios apropiados, toda la Información no pública mientras se transmite a través de una red externa y toda la Información no pública almacenada en una computadora portátil u otra computadora portátil o dispositivo o medio de almacenamiento;"

Protección de los datos en reposo:

CipherTrust Data Security Platform ofrece múltiples capacidades para proteger los datos en reposo en archivos, volúmenes y bases de datos. Entre ellas:

  • CipherTrust Transparent Encryption ofrece cifrado de datos en reposo con administración centralizada de claves y control de acceso de usuarios privilegiados. Esto protege los datos dondequiera que residan: en las instalaciones, en múltiples nubes y dentro de entornos de big data y contenedores.
  • CipherTrust Tokenization permite la seudonimización de información sensible en bases de datos, manteniendo al mismo tiempo la capacidad de analizar información agregada
  • CipherTrust Enterprise Key Management optimiza y fortalece la administración de claves en entornos de nube y empresariales en un diverso conjunto de casos de uso.

Proteger claves y certificados:

Los Luna Hardware Security Modules (HSM) protegen las claves criptográficas y proporcionan un entorno fortalecido FIPS 140-2 de nivel 3 y resistente a manipulaciones indebidas para un procesamiento criptográfico seguro, generación y protección de claves, cifrado y más. Luna HSMs están disponibles en las instalaciones, en la nube como servicio y en entornos híbridos.

Protección de datos en movimiento:

Thales High Speed Encryptors (HSE) ofrecen cifrado de datos en movimiento independiente de la red (Capas 2, 3 y 4) garantizando que los datos estén protegidos al trasladarse de un centro a otro, o desde las instalaciones a la nube o viceversa. Nuestras soluciones de cifrado de red les permiten a los clientes proteger mejor los datos, el vídeo, la voz y los metadatos de la interceptación, la vigilancia y la intercepción abierta y encubierta, sin comprometer el rendimiento.

Parte D. 2, e:

"Adoptar prácticas de desarrollo seguras para aplicaciones desarrolladas internamente..."

CipherTrust Platform Community Edition que facilita a DevSecOps la implementación de controles de protección de datos en aplicaciones híbridas y multinube. La solución incluye licencias para CipherTrust Manager Community Edition, Data Protection Gateway y CipherTrust Transparent Encryption for Kubernetes.

CipherTrust Secrets Management es una solución de gestión de secretos de última generación que protege y automatiza el acceso a secretos a través de herramientas DevOps y cargas de trabajo en la nube, incluidos secretos, credenciales, certificados, claves API y tokens.

Parte D. 2, g:

"Utilizar controles eficaces, que pueden incluir la autenticación multifactor..."

SafeNet Trusted Access es una solución de gestión de accesos basada en la nube que proporciona autenticación multifactor comercial lista para usar con la más amplia gama de métodos y factores de forma de autenticación de hardware y software para la ciberseguridad.

Parte D. 2, i:

"Incluir registros de auditoría dentro del Programa de seguridad de la información diseñado para detectar y responder a eventos de seguridad cibernética"

Todas las soluciones de seguridad de datos de Thales mantienen amplios registros de acceso e impiden el acceso no autorizado. En particular, CipherTrust Transparent Encryption los registros y los informes optimizan los informes de cumplimiento y aceleran la respuesta a eventos de ciberseguridad mediante los principales sistemas de información de seguridad y SIEM externos.

Además, CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) vigila la actividad anormal de E/S en archivos que alojan datos críticos para la empresa en cada proceso. Permite a los administradores alertar/bloquear actividades sospechosas antes de que el ransomware pueda apoderarse de sus endpoints/servidores. Defiende contra el ransomware incluso cuando este se instala antes que CTE-RWP.

SafeNet Trusted Access permite a las organizaciones responder y mitigar el riesgo de filtración de datos proporcionando una pista de auditoría inmediata y actualizada de todos los eventos de acceso a todos los sistemas.

Parte D. 2, k:

"Desarrollar, implementar y mantener procedimientos para la eliminación segura de información no pública en cualquier formato".

Las soluciones de cifrado y tokenización de CipherTrust Data Security Platform se basan en claves criptográficas para cifrar y descifrar datos. Esto significa que puede "destruir" datos de forma selectiva simplemente destruyendo las claves de cifrado de esos datos.

Recursos relacionados

Data Security Solutions for NAIC Compliance - Solution Brief

Data Security Solutions for NAIC Compliance - Solution Brief

Discover how Thales solutions support NAIC compliance with data security measures like encryption, identity management, and audit trails for insurance providers.  The National Association of Insurance Commissioners (NAIC) Data Security Law (Model Law) requires insurers...

Read More
Compliance Requirements for American Financial Services Organizations

Compliance Requirements for American Financial Services Organizations - eBook

This eBook covers some of the most important regulations affecting Financial Services organizations in the United States and how Thales cybersecurity solutions help meet requirements for risk management, data privacy, access management and much more. Included regulations:...

Read More

Otras normativas clave de protección de datos y seguridad

RGPD

REGLAMENTO
ACTIVA AHORA

El RGPD es tal vez la norma de privacidad de datos más completa hasta la fecha. Afecta a cualquier organización que procese los datos personales de los ciudadanos de la UE, independientemente de la ubicación de la sede de la organización.

Saber más

PCI DSS

MANDATO
ACTIVA AHORA

Cualquier organización que desempeñe un papel en el procesamiento de pagos con tarjetas de crédito y débito debe cumplir con los estrictos requisitos de cumplimiento de PCI DSS para el procesamiento, el almacenamiento y la transmisión de datos de cuentas.

Saber más

Leyes de notificación de brechas de datos

REGLAMENTO
ACTIVA AHORA

Los países de todo el mundo han promulgado requisitos de notificación de brechas de datos tras la pérdida de información personal. Varían según la jurisdicción, pero casi siempre incluyen una cláusula de "safe harbour".

Saber más
man with laptop

Póngase en contacto con un especialista en cumplimiento normativo

Contactar con nosotros
laptop

¿Está usted preparado para el RGPD?

Explore
two men

Lea el Manual de Soluciones de Cumplimiento Normativo

Descargar ahora

Soluciones relacionadas

CipherTrust Data Security Platform

La plataforma CipherTrust Data Security Platform hace que sea fácil y eficiente administrar la seguridad de los datos en reposo en toda su organización.

Más información

CipherTrust Tokenization con enmascaramiento dinámico de datos

CipherTrust con enmascaramiento de datos dinámico reduce de forma dramática el costo y esfuerzo necesario para cumplir con las políticas de seguridad.

Más información

Cifrado de datos en reposo

Aprovechar el poder de acceder a grandes cantidades de datos confidenciales para el análisis empresarial, al mismo tiempo que se mitigan los riesgos de exposición y compromiso.

Más información

CipherTrust Transparent Encryption para SAP HANA

El cifrado transparente de CipherTrust proporciona un enfoque comprobado para proteger los datos de SAP HANA que cumple con rigurosos requisitos de seguridad, gobernanza de datos y cumplimiento.

Más información
Partners Resources Blogs Sentinel Drivers