Thales banner

Conformité de la sécurité des données à la Loi sur la sécurité des données de la NAIC

Comment les solutions Thales contribuent à la conformité à la Loi sur la sécurité des données de la NAIC

La loi sur la sécurité des données de la NAIC

Amériques

La Loi (type) sur la sécurité des données de l’Association nationale des commissaires aux assurances (NAIC) exige que les assureurs et autres entités agréés par les départements d’assurance des États élaborent, mettent en œuvre et maintiennent un programme de sécurité de l’information, enquêtent sur tout événement de cybersécurité et notifient ces événements au commissaire aux assurances de l’État en question. La Loi type de la NAIC constitue un modèle pour les lois des États régissant les compagnies d’assurance. Les principales recommandations de la loi comprennent :

  • L’élaboration d’un programme écrit de sécurité de l’information
  • L’attribution de la responsabilité de la sécurité de l’information
  • La réalisation d’évaluations périodiques des risques
  • La mise en œuvre des principales mesures de protection en matière de cybersécurité
  • La préparation de plans et de procédures de réponse aux incidents
  • Le contrôle et le compte rendu réguliers de l’état d’avancement du programme
  • La mise en œuvre de la surveillance des prestataires de services
  • Une surveillance au niveau du conseil d’administration

Quelles sont les entreprises soumises à la Loi sur la sécurité des données de la NAIC ?

La loi s’applique aux titulaires d’une licence délivrée par le bureau d’assurance de chaque État. Cela inclut (à quelques exceptions près) les compagnies d’assurance, les agences, les agents, les experts publics et les courtiers.

Quand la Loi sur la sécurité des données de la NAIC est-elle entrée en vigueur ?

L’Association nationale des commissaires aux assurances a officiellement adopté la Loi sur la sécurité des données au quatrième trimestre 2017. En mai 2023, 22 États avaient promulgué des versions de la loi : l’Alabama, l’Alaska, le Connecticut, le Delaware, Hawaï, l’Indiana, l’Iowa, le Kentucky, la Louisiane, le Maine, le Maryland, le Michigan, le Minnesota, le Mississippi, le New Hampshire, le Dakota du Nord, l’Ohio, la Caroline du Sud, le Tennessee, le Vermont, la Virginie et le Wisconsin.

Quelles sont les sanctions en cas de non-respect de la Loi sur la sécurité des données de la NAIC ?

Les sanctions suggérées en cas de non-respect de la Loi sur la sécurité des données de la NAIC peuvent atteindre 500 dollars par infraction (le maximum étant de 10 000 dollars). Si l’assureur/le producteur enfreint l’ordonnance de cessation et d’abstention du commissaire, les sanctions suggérées peuvent atteindre 10 000 dollars par infraction (le maximum étant de 50 000 dollars). Les personnes travaillant dans ces établissements sont passibles d’une amende pouvant atteindre 10 000 dollars pour chaque infraction et peuvent également être condamnées à une peine d’emprisonnement pouvant aller jusqu’à cinq ans.

Comment Thales peut contribuer à la conformité à la Loi sur la sécurité des données de la NAIC

Thales aide les organisations à se conformer à la Loi sur la sécurité des données de la NAIC en répondant aux exigences essentielles en matière de gestion des risques dans le cadre du Programme de sécurité de l’information exigé par la NAIC.

Loi sur la sécurité des données de la NAIC - Article 4. Programme de sécurité de l’information

Le titulaire de licence élabore, met en œuvre et maintient un Programme de sécurité de l’information qui contient des mesures de protection administratives, techniques et physiques visant à protéger les informations non publiques et le système d’information dudit titulaire de licence.

Thales aide les organisations en :

  • réduisant les risques liés aux prestataires tiers
  • contrôlant l’accès aux données sensibles et aux systèmes d’information
  • identifiant et gérant les données sensibles
  • chiffrant les données au repos et en transit
  • sécurisant le développement des applications
  • mettant en œuvre l’authentification multifacteur
  • surveillant et contrôlant l’activité
  • sécurisant l’élimination des informations non publiques

Exigences de la NAIC :

Partie D, alinéa 1 :

« Concevoir son Programme de sécurité de l’information de façon à atténuer les risques identifiés ... y compris son recours à des prestataires de services tiers »

Les solutions de Thales :

CipherTrust Cloud Key Manager peut réduire les risques liés aux prestataires tiers en maintenant sur place, sous le contrôle total de l’institution financière, les clés qui protègent les données sensibles hébergées par des fournisseurs de cloud tiers dans le cadre de systèmes « apportez vos propres clés » (BYOK)..

CipherTrust Transparent Encryption offre une séparation complète des rôles administratifs où seuls les utilisateurs et les processus autorisés peuvent voir les données non chiffrées. À moins qu’une raison valable d’accéder aux données ne soit fournie, les données sensibles stockées dans un cloud tiers ne seront pas accessibles en clair aux utilisateurs non autorisés.

Les solutions de sécurité des données de Thales offrent la gamme la plus complète de protection des données, comme la protection des données à la demande (Data Protection on Demand - DPoD) de Thales, qui fournit une haute disponibilité et une sauvegarde intégrées à ses services HSM Cloud Luna et CipherTrust Key Management basés sur le cloud, jusqu’aux dispositifs de chiffrement de réseau HSE qui offrent des options de réduction à zéro.

Partie D, alinéa 2, point a :

« Mettre en place des contrôles d’accès aux systèmes d’information, ... protéger contre l’acquisition non autorisée d’informations non publiques ; »

Les solutions de gestion des identités et des accès OneWelcome de Thales limitent l’accès des utilisateurs internes et externes en fonction de leur rôle et du contexte. Soutenues par une authentification forte (MFA), des politiques d’accès granulaires et des politiques d’autorisation fines permettent de s’assurer que le bon utilisateur a accès à la bonne ressource au bon moment, minimisant ainsi le risque d’accès non autorisé.

Le module de gestion du consentement et des préférences OneWelcome de Thales permet aux organisations de recueillir le consentement des consommateurs finaux afin que les institutions financières puissent avoir une visibilité claire des données consenties, leur permettant ainsi de gérer l’accès aux données qu’elles sont autorisées à utiliser.

CipherTrust Transparent Encryption chiffre les données sensibles et exécute des politiques de gestion des accès d’utilisateurs privilégiés granulaires pouvant être appliquées en fonction de l’utilisateur, du processus, du type de fichier, de l’heure de la journée et d’autres paramètres. Il offre une séparation complète des rôles où seuls les utilisateurs et les processus autorisés peuvent voir les données non chiffrées.

Partie D, alinéa 2, point b :

« Identifier et gérer les données ... qui permettent à l’organisation d’atteindre ses objectifs commerciaux ... »

La solution CipherTrust Data Discovery and Classification identifie les données sensibles structurées et non structurées sur site et dans le cloud. Des modèles intégrés permettent une identification rapide des données réglementées, mettent en évidence les risques de cybersécurité et aident à détecter les lacunes en matière de conformité.

Partie D, alinéa 2, point d :

« Protéger par chiffrement ou par d’autres moyens appropriés toutes les informations non publiques transmises sur un réseau externe et toutes les informations non publiques stockées sur un ordinateur portable ou sur un autre support médiatique ou dispositif de stockage informatique ou portable ; »

Protection des données au repos :

La solution CipherTrust Data Security Platform offre de multiples fonctionnalités pour protéger les données au repos dans les fichiers, les volumes et les bases de données. Parmi elles, citons :

  • CipherTrust Transparent Encryption fournit un chiffrement des données au repos avec une gestion centralisée des clés et des contrôles d’accès d’utilisateur privilégié. Ceci permet de protéger les données où qu’elles résident, sur site, dans plusieurs clouds et dans les environnements de Big Data ou de conteneurs.
  • CipherTrust Tokenization permet de pseudonymiser les informations sensibles dans les bases de données tout en conservant la possibilité d’analyser les données agrégées.
  • CipherTrust Enterprise Key Management rationalise et renforce la gestion des clés dans les environnements cloud et d’entreprise sur un ensemble varié de cas d’utilisation.

Protection des clés et des certificats :

Les Luna Hardware Security Modules (HSM) protègent les clés de chiffrement et fournissent un environnement renforcé et inviolable de type FIPS 140-2 de niveau 3 pour des opérations cryptographiques (traitement, génération et protection des clés, chiffrement, et bien d’autres) sécurisées. Les HSM Luna sont disponibles sur site, dans le cloud en tant que service et dans des environnements hybrides.

Protection des données en transit :

Les dispositifs de chiffrement à haut débit, ou High Speed Encryptors (HSE), de Thales offrent un chiffrement des données en transit indépendant du réseau (couches 2, 3 et 4), ce qui garantit la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le cloud et inversement. Nos solutions de chiffrement réseau permettent aux clients d’améliorer la protection de leurs données, de leurs vidéos, de leurs fichiers audio et de leurs métadonnées contre les écoutes, la surveillance et l’interception, explicite et déguisée, le tout sans compromis sur les performances.

Partie D, alinéa 2, point e :

« Adopter des pratiques de développement sécurisées pour les applications développées en interne ... »

CipherTrust Platform Community Edition permet aux DevSecOps de déployer facilement des contrôles de protection des données dans les applications hybrides et multicloud. La solution comprend des licences pour CipherTrust Manager Community Edition, pour Data Protection Gateway et pour CipherTrust Transparent Encryption for Kubernetes.

CipherTrust Secrets Management est une solution de gestion des secrets de pointe, qui protège et automatise l’accès aux secrets à travers les outils DevOps et les charges de travail sur le cloud, y compris les secrets, les informations d’identification, les certificats, les clés API et les tokens.

Partie D, alinéa 2, point g :

« Utiliser des contrôles efficaces, qui peuvent inclure l’authentification multifacteur... »

SafeNet Trusted Access est une solution de gestion des accès basée sur le cloud qui fournit une authentification multifacteur commerciale, prête à l’emploi, assortie de la plus large gamme de méthodes d’authentification matérielles et logicielles et de formats pour la protection en matière de cybersécurité.

Partie D, alinéa 2, point i :

« Inclure des pistes d’audit dans le programme de sécurité de l’information conçu pour détecter les événements liés à la cybersécurité et y répondre »

Les solutions de sécurité des données de Thales tiennent toutes des journaux détaillés sur l’accès et empêchent tout accès non autorisé. Les journaux et les rapports de renseignements de sécurité de la solution CipherTrust Transparent Encryption, notamment, rationalisent la génération de rapports de conformité et accélèrent la réponse aux événements de sécurité à l’aide des principaux systèmes de gestion des informations et des événements de sécurité (SIEM).

En outre, CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) surveille les activités d’E/S anormales sur les fichiers hébergeant des données critiques pour l’entreprise, processus par processus. Il permet aux administrateurs d’alerter ou de bloquer les activités suspectes avant que les rançongiciels ne s’emparent de vos terminaux ou de vos serveurs. Il assure une protection contre les rançongiciels même lorsque ceux-ci sont installés avant CTE-RWP.

SafeNet Trusted Access permet aux organisations de répondre au risque de violation des données et de le réduire en fournissant une piste d’audit immédiate et à jour de tous les événements d’accès à tous les systèmes.

Partie D, alinéa 2, point k :

« Élaborer, mettre en œuvre et maintenir des procédures pour l’élimination sécurisée des informations non publiques, quel que soit leur format. »

Les solutions de chiffrement et de tokénisation de CipherTrust Data Security Platform s’appuient sur des clés cryptographiques pour chiffrer et déchiffrer les données. Cela signifie que vous pouvez « détruire » sélectivement des données en détruisant simplement les clés de chiffrement de ces données.

Ressources associées

Data Security Solutions for NAIC Compliance - Solution Brief

Data Security Solutions for NAIC Compliance - Solution Brief

Discover how Thales solutions support NAIC compliance with data security measures like encryption, identity management, and audit trails for insurance providers.  The National Association of Insurance Commissioners (NAIC) Data Security Law (Model Law) requires insurers...

Compliance Requirements for American Financial Services Organizations

Compliance Requirements for American Financial Services Organizations - eBook

This eBook covers some of the most important regulations affecting Financial Services organizations in the United States and how Thales cybersecurity solutions help meet requirements for risk management, data privacy, access management and much more. Included regulations:...

Autres réglementations de protection des données et sécurité importantes

RGPD

RÉGLEMENTATION
EN VIGUEUR

Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.

PCI DSS

MANDAT
EN VIGUEUR

Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.

Lois sur la notification des brèches de données

RÉGLEMENTATION
EN VIGUEUR

Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".