Conformité de la sécurité des données à la Loi sur la sécurité des données de la NAIC
Comment les solutions Thales contribuent à la conformité à la Loi sur la sécurité des données de la NAIC
La Loi (type) sur la sécurité des données de l’Association nationale des commissaires aux assurances (NAIC) exige que les assureurs et autres entités agréés par les départements d’assurance des États élaborent, mettent en œuvre et maintiennent un programme de sécurité de l’information, enquêtent sur tout événement de cybersécurité et notifient ces événements au commissaire aux assurances de l’État en question. La Loi type de la NAIC constitue un modèle pour les lois des États régissant les compagnies d’assurance. Les principales recommandations de la loi comprennent :
La loi s’applique aux titulaires d’une licence délivrée par le bureau d’assurance de chaque État. Cela inclut (à quelques exceptions près) les compagnies d’assurance, les agences, les agents, les experts publics et les courtiers.
L’Association nationale des commissaires aux assurances a officiellement adopté la Loi sur la sécurité des données au quatrième trimestre 2017. En mai 2023, 22 États avaient promulgué des versions de la loi : l’Alabama, l’Alaska, le Connecticut, le Delaware, Hawaï, l’Indiana, l’Iowa, le Kentucky, la Louisiane, le Maine, le Maryland, le Michigan, le Minnesota, le Mississippi, le New Hampshire, le Dakota du Nord, l’Ohio, la Caroline du Sud, le Tennessee, le Vermont, la Virginie et le Wisconsin.
Les sanctions suggérées en cas de non-respect de la Loi sur la sécurité des données de la NAIC peuvent atteindre 500 dollars par infraction (le maximum étant de 10 000 dollars). Si l’assureur/le producteur enfreint l’ordonnance de cessation et d’abstention du commissaire, les sanctions suggérées peuvent atteindre 10 000 dollars par infraction (le maximum étant de 50 000 dollars). Les personnes travaillant dans ces établissements sont passibles d’une amende pouvant atteindre 10 000 dollars pour chaque infraction et peuvent également être condamnées à une peine d’emprisonnement pouvant aller jusqu’à cinq ans.
Thales aide les organisations à se conformer à la Loi sur la sécurité des données de la NAIC en répondant aux exigences essentielles en matière de gestion des risques dans le cadre du Programme de sécurité de l’information exigé par la NAIC.
Le titulaire de licence élabore, met en œuvre et maintient un Programme de sécurité de l’information qui contient des mesures de protection administratives, techniques et physiques visant à protéger les informations non publiques et le système d’information dudit titulaire de licence.
Partie D, alinéa 1 :
« Concevoir son Programme de sécurité de l’information de façon à atténuer les risques identifiés ... y compris son recours à des prestataires de services tiers »
CipherTrust Cloud Key Manager peut réduire les risques liés aux prestataires tiers en maintenant sur place, sous le contrôle total de l’institution financière, les clés qui protègent les données sensibles hébergées par des fournisseurs de cloud tiers dans le cadre de systèmes « apportez vos propres clés » (BYOK)..
CipherTrust Transparent Encryption offre une séparation complète des rôles administratifs où seuls les utilisateurs et les processus autorisés peuvent voir les données non chiffrées. À moins qu’une raison valable d’accéder aux données ne soit fournie, les données sensibles stockées dans un cloud tiers ne seront pas accessibles en clair aux utilisateurs non autorisés.
Les solutions de sécurité des données de Thales offrent la gamme la plus complète de protection des données, comme la protection des données à la demande (Data Protection on Demand - DPoD) de Thales, qui fournit une haute disponibilité et une sauvegarde intégrées à ses services HSM Cloud Luna et CipherTrust Key Management basés sur le cloud, jusqu’aux dispositifs de chiffrement de réseau HSE qui offrent des options de réduction à zéro.
Partie D, alinéa 2, point a :
« Mettre en place des contrôles d’accès aux systèmes d’information, ... protéger contre l’acquisition non autorisée d’informations non publiques ; »
Les solutions de gestion des identités et des accès OneWelcome de Thales limitent l’accès des utilisateurs internes et externes en fonction de leur rôle et du contexte. Soutenues par une authentification forte (MFA), des politiques d’accès granulaires et des politiques d’autorisation fines permettent de s’assurer que le bon utilisateur a accès à la bonne ressource au bon moment, minimisant ainsi le risque d’accès non autorisé.
Le module de gestion du consentement et des préférences OneWelcome de Thales permet aux organisations de recueillir le consentement des consommateurs finaux afin que les institutions financières puissent avoir une visibilité claire des données consenties, leur permettant ainsi de gérer l’accès aux données qu’elles sont autorisées à utiliser.
CipherTrust Transparent Encryption chiffre les données sensibles et exécute des politiques de gestion des accès d’utilisateurs privilégiés granulaires pouvant être appliquées en fonction de l’utilisateur, du processus, du type de fichier, de l’heure de la journée et d’autres paramètres. Il offre une séparation complète des rôles où seuls les utilisateurs et les processus autorisés peuvent voir les données non chiffrées.
Partie D, alinéa 2, point b :
« Identifier et gérer les données ... qui permettent à l’organisation d’atteindre ses objectifs commerciaux ... »
La solution CipherTrust Data Discovery and Classification identifie les données sensibles structurées et non structurées sur site et dans le cloud. Des modèles intégrés permettent une identification rapide des données réglementées, mettent en évidence les risques de cybersécurité et aident à détecter les lacunes en matière de conformité.
Partie D, alinéa 2, point d :
« Protéger par chiffrement ou par d’autres moyens appropriés toutes les informations non publiques transmises sur un réseau externe et toutes les informations non publiques stockées sur un ordinateur portable ou sur un autre support médiatique ou dispositif de stockage informatique ou portable ; »
Protection des données au repos :
La solution CipherTrust Data Security Platform offre de multiples fonctionnalités pour protéger les données au repos dans les fichiers, les volumes et les bases de données. Parmi elles, citons :
Protection des clés et des certificats :
Les Luna Hardware Security Modules (HSM) protègent les clés de chiffrement et fournissent un environnement renforcé et inviolable de type FIPS 140-2 de niveau 3 pour des opérations cryptographiques (traitement, génération et protection des clés, chiffrement, et bien d’autres) sécurisées. Les HSM Luna sont disponibles sur site, dans le cloud en tant que service et dans des environnements hybrides.
Protection des données en transit :
Les dispositifs de chiffrement à haut débit, ou High Speed Encryptors (HSE), de Thales offrent un chiffrement des données en transit indépendant du réseau (couches 2, 3 et 4), ce qui garantit la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le cloud et inversement. Nos solutions de chiffrement réseau permettent aux clients d’améliorer la protection de leurs données, de leurs vidéos, de leurs fichiers audio et de leurs métadonnées contre les écoutes, la surveillance et l’interception, explicite et déguisée, le tout sans compromis sur les performances.
Partie D, alinéa 2, point e :
« Adopter des pratiques de développement sécurisées pour les applications développées en interne ... »
CipherTrust Platform Community Edition permet aux DevSecOps de déployer facilement des contrôles de protection des données dans les applications hybrides et multicloud. La solution comprend des licences pour CipherTrust Manager Community Edition, pour Data Protection Gateway et pour CipherTrust Transparent Encryption for Kubernetes.
CipherTrust Secrets Management est une solution de gestion des secrets de pointe, qui protège et automatise l’accès aux secrets à travers les outils DevOps et les charges de travail sur le cloud, y compris les secrets, les informations d’identification, les certificats, les clés API et les tokens.
Partie D, alinéa 2, point g :
« Utiliser des contrôles efficaces, qui peuvent inclure l’authentification multifacteur... »
SafeNet Trusted Access est une solution de gestion des accès basée sur le cloud qui fournit une authentification multifacteur commerciale, prête à l’emploi, assortie de la plus large gamme de méthodes d’authentification matérielles et logicielles et de formats pour la protection en matière de cybersécurité.
Partie D, alinéa 2, point i :
« Inclure des pistes d’audit dans le programme de sécurité de l’information conçu pour détecter les événements liés à la cybersécurité et y répondre »
Les solutions de sécurité des données de Thales tiennent toutes des journaux détaillés sur l’accès et empêchent tout accès non autorisé. Les journaux et les rapports de renseignements de sécurité de la solution CipherTrust Transparent Encryption, notamment, rationalisent la génération de rapports de conformité et accélèrent la réponse aux événements de sécurité à l’aide des principaux systèmes de gestion des informations et des événements de sécurité (SIEM).
En outre, CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) surveille les activités d’E/S anormales sur les fichiers hébergeant des données critiques pour l’entreprise, processus par processus. Il permet aux administrateurs d’alerter ou de bloquer les activités suspectes avant que les rançongiciels ne s’emparent de vos terminaux ou de vos serveurs. Il assure une protection contre les rançongiciels même lorsque ceux-ci sont installés avant CTE-RWP.
SafeNet Trusted Access permet aux organisations de répondre au risque de violation des données et de le réduire en fournissant une piste d’audit immédiate et à jour de tous les événements d’accès à tous les systèmes.
Partie D, alinéa 2, point k :
« Élaborer, mettre en œuvre et maintenir des procédures pour l’élimination sécurisée des informations non publiques, quel que soit leur format. »
Les solutions de chiffrement et de tokénisation de CipherTrust Data Security Platform s’appuient sur des clés cryptographiques pour chiffrer et déchiffrer les données. Cela signifie que vous pouvez « détruire » sélectivement des données en détruisant simplement les clés de chiffrement de ces données.
Learn how our Data Security Compliance solutions can help organizations with the new NAIC Data Security Law, by addressing essential requirements for risk management. The National Association of Insurance Commissioners (NAIC) Data Security Law (Model Law) requires...
This eBook covers some of the most important regulations affecting Financial Services organizations in the United States and how Thales cybersecurity solutions help meet requirements for risk management, data privacy, access management and much more. Included regulations:...
Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.
Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.
Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".