Thales banner

Conformità della sicurezza dei dati con la legge NAIC Data Security

Modalità con cui le soluzioni di Thales contribuiscono alla conformità alla legge NAIC Data Security

La legge NAIC Data Security

Americhe

La legge modello sulla sicurezza dei dati dell'Associazione nazionale dei commissari assicurativi (NAIC) (Model Law) richiede agli assicuratori e ad altre entità autorizzate dai dipartimenti assicurativi statali di sviluppare, implementare e mantenere un programma di sicurezza delle informazioni, di indagare su qualsiasi evento di sicurezza informatica e di notificare tali eventi al commissario assicurativo statale. La legge modello NAIC fornisce un modello per le leggi statali che regolano le compagnie assicurative. Le principali raccomandazioni della legge comprendono:

  • sviluppare un programma scritto di sicurezza delle informazioni
  • assegnare la responsabilità della sicurezza delle informazioni
  • eseguire valutazioni periodiche del rischio
  • implementare le principali misure di sicurezza informatica
  • preparare piani e procedure di risposta agli incidenti
  • monitorare e riferire regolarmente sullo stato del programma
  • implementare la supervisione dei fornitori di servizi
  • fornire una supervisione a livello di consiglio di amministrazione

Quali aziende devono rispettare la legge NAIC Data Security?

La legge si applica ai titolari di licenza di ciascun ente assicurativo statale. Sono comprese (con alcune eccezioni) le compagnie, le agenzie, gli agenti, i periti pubblici e i broker assicurativi.

Quando è entrata in vigore la legge NAIC Data Security?

La National Association of Insurance Commissioners ha adottato ufficialmente la legge sulla sicurezza dei dati nel quarto trimestre del 2017. A partire da maggio 2023, 22 Stati hanno emanato versioni della legge: Alabama, Alaska, Connecticut, Delaware, Hawaii, Indiana, Iowa, Kentucky, Louisiana, Maine, Maryland, Michigan, Minnesota, Mississippi, New Hampshire, North Dakota, Ohio, South Carolina, Tennessee, Vermont, Virginia e Wisconsin.

Quali sono le sanzioni per la mancata conformità alla legge NAIC Data Security?

Le sanzioni suggerite per la mancata conformità alla legge NAIC Data Security sono fino a 500 dollari per violazione (con un massimo di 10.000 dollari). Se l'assicuratore / il produttore viola l'ordine di cessazione e desistenza del commissario, le sanzioni suggerite sono fino a 10.000 dollari per violazione (con un massimo di 50.000 dollari). Gli individui di queste istituzioni possono essere multati fino a 10.000 dollari per ogni violazione e possono essere condannati fino a cinque anni di carcere.

Modalità con cui Thales può contribuire alla conformità alla legge NAIC Data Security

Thales aiuta le aziende a rispettare la legge NAIC Data Security soddisfacendo i requisiti essenziali per la gestione del rischio nel programma di sicurezza delle informazioni richiesto dalla NAIC.

Legge NAIC Data Security, sezione 4. Programma di sicurezza delle informazioni

Il licenziatario dovrà sviluppare, implementare e mantenere un programma di sicurezza delle informazioni che contenga salvaguardie amministrative, tecniche e fisiche per la protezione delle informazioni non pubbliche e del sistema informativo del licenziatario.

Thales supporta le aziende attraverso:

  • riduzione del rischio di terzi
  • controllo degli accesso ai dati sensibili e ai sistemi di informazione
  • identificazione e gestione dei dati sensibili
  • crittografia dei dati a riposo e in movimento
  • garanzia di sviluppo delle app
  • implementazione dell'autenticazione multi-fattore
  • attività di monitoraggio e verifica
  • garanzia dell'eliminazione delle informazioni non pubbliche

Requisito NAIC:

Parte D. 1:

"Progettare il proprio programma di sicurezza delle informazioni per mitigare i rischi identificati ... compreso l'uso di fornitori di servizi di terze parti".

Le soluzioni di Thales:

CipherTrust Cloud Key Manager può ridurre i rischi di terze parti mantenendo in sede, sotto il pieno controllo dell'istituto finanziario, le chiavi che proteggono i dati sensibili conservati da fornitori cloud di terze parti nell'ambito dei sistemi BYOK (Bring Your Own Keys).

CipherTrust Transparent Encryption offre una completa separazione dei ruoli amministrativi, in cui solo gli utenti autorizzati e i processi possono visualizzare i dati non crittografati. A meno che non venga fornito un motivo valido per accedere ai dati, i dati sensibili archiviati in un cloud di terze parti non saranno accessibili in chiaro a utenti non autorizzati.

Le Data Security Solution di Thales offrono la gamma più completa di protezione dei dati, come Data Protection on Demand (DPoD) di Thales che fornisce elevata disponibilità e backup integrati per i servizi HSM Cloud Luna e CipherTrust Key Management basati su cloud e per le appliance di crittografia di rete HSE che offrono opzioni di azzeramento.

Parte D. 2, a:

"Implementare controlli di accesso ai sistemi informativi, ... proteggere dall'acquisizione non autorizzata di informazioni non pubbliche"

Le soluzioni di gestione delle identità e degli accessi OneWelcome di Thales limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al loro contesto. Con il supporto di un'autenticazione (MFA) avanzata, politiche di accesso e politiche di autorizzazione granulari contribuiscono a garantire che all'utente giusto sia concesso l'accesso alla risorsa giusta al momento giusto, riducendo al minimo il rischio di accesso non autorizzato.

Il modulo OneWelcome di Thales per la gestione del consenso e delle preferenze consente alle aziende di raccogliere il consenso dei consumatori finali in modo che le istituzioni finanziarie possano avere una chiara visibilità dei dati consentiti, permettendo loro di gestire l'accesso ai dati che sono autorizzati a utilizzare

CipherTrust Transparent Encryption crittografa i dati sensibili e applica politiche di gestione granulari dell'accesso da parte di utenti privilegiati, che possono essere implementate in base a utente, processo, tipo di file, ora del giorno e altri parametri. Offre una completa separazione dei ruoli, in cui solo gli utenti autorizzati e i processi possono visualizzare i dati non crittografati.

Parte D. 2, b:

"Identificare e gestire i dati ... che consentono all'azienda di raggiungere gli obiettivi aziendali ..."

CipherTrust Data Discovery and Classification individua dati sensibili, strutturati e non, nel cloud e on-premise. I modelli integrati permettono un'identificazione rapida dei dati regolati, il rilevamento dei rischi per la sicurezza informatica e l'individuazione di lacune relative alla compliance.

Parte D. 2, d:

"Proteggere mediante crittografia o altri mezzi appropriati tutte le informazioni non pubbliche durante la trasmissione su una rete esterna e tutte quelle memorizzate su un computer portatile o su un altro dispositivo o supporto informatico o di archiviazione portatile;"

Protezione dei dati a riposo:

CipherTrust Data Security Platform offre diverse funzionalità per la protezione dei dati a riposo in file, volumi e database. Tra queste:

  • CipherTrust Transparent Encryption offre crittografia dei dati a riposo grazie alla gestione centralizzata delle chiavi e controlli degli accessi degli utenti privilegiati. In questo modo è possibile proteggere i dati in qualsiasi ambiente, on-premise, cloud multipli, ambienti di big data e container.
  • CipherTrust Tokenization consente la pseudonimizzazione delle informazioni sensibili nei database, mantenendo la capacità di analizzare i dati aggregati
  • CipherTrust Enterprise Key Management semplifica e potenzia la gestione delle chiavi in ambienti cloud e di tipo enterprise per una varietà di casi d'uso.

Protezione di chiavi e certificati:

I Luna Hardware Security Module (HSM) proteggono le chiavi crittografiche e forniscono un ambiente FIPS 140-2 livello 3 temprato e a prova di manomissioni per un’elaborazione crittografica, una generazione e protezione delle chiavi e una crittografia sicure. Gli HSM Luna sono disponibili on-premise, nel cloud as-a-service e in ambienti ibridi.

Protezione dei dati in movimento:

Gli High Speed Encryptor (HSE) di Thales offrono una crittografia di rete indipendente dei dati in movimento (livelli 2, 3 e 4) garantendo la sicurezza dei dati durante gli spostamenti tra siti oppure da ambienti on-premise al cloud e viceversa. Le nostre soluzioni di crittografia di rete consentono ai clienti di proteggere meglio dati, video, file vocali e metadati da spionaggio, sorveglianza e intercettazione esplicita o sotto copertura, il tutto senza compromettere le prestazioni.

Parte D. 2, e:

"Adottare pratiche di sviluppo sicure per le applicazioni sviluppate internamente..."

CipherTrust Platform Community Edition semplifica l'esecuzione da parte di DevSecOps dei controlli di protezione dei dati nelle applicazioni ibride e multi-cloud. La soluzione comprende le licenze per CipherTrust Manager Community Edition, Data Protection Gateway e CipherTrust Transparent Encryption per Kubernetes.

CipherTrust Secrets Management è una soluzione all'avanguardia per la gestione dei segreti che protegge e automatizza l'accesso ai segreti negli strumenti DevOps e nei carichi di lavoro cloud, compresi segreti, credenziali, certificati, chiavi API e token.

Parte D. 2, g:

"Utilizzare controlli efficaci, che possono includere l'autenticazione a più fattori..."

SafeNet Trusted Access è una soluzione di gestione degli accessi basata sul cloud che fornisce un'autenticazione a più fattori commerciale, off-the-shelf, con la più ampia gamma di metodi e fattori di forma di autenticazione hardware e software per la protezione della sicurezza informatica.

Parte D. 2, i:

"Includere i percorsi di audit all'interno del programma di sicurezza delle informazioni progettato per rilevare e rispondere agli eventi di cybersecurity"

Le Data Security Solution di Thales mantengono tutte ampi registri di accesso e impediscono l'accesso non autorizzato. Nello specifico, i log e report sulle informazioni di sicurezza di CipherTrust Transparent Encryption semplificano l’elaborazione dei rapporti di conformità e velocizzano la risposta agli eventi di sicurezza informatica grazie a informazioni sulla sicurezza e a sistemi SIEM esterni.

Inoltre, CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) controlla l'attività di I/O anomala sui file che ospitano dati aziendali critici su base progettuale e consente agli amministratori di avvisare / bloccare le attività sospette prima che il ransomware possa impossessarsi degli endpoint / dei server. Difende inoltre dal ransomware anche quando questo viene installato prima di CTE-RWP.

SafeNet Trusted Access consente alle aziende di rispondere e mitigare il rischio di violazione dei dati, fornendo un audit trail immediato e aggiornato di tutti gli eventi di accesso a tutti i sistemi.

Parte D. 2, k:

"Sviluppare, implementare e mantenere procedure per lo smaltimento sicuro delle informazioni non pubbliche in qualsiasi formato."

Le soluzioni di crittografia e tokenizzazione CipherTrust Data Security Platform si basano su chiavi crittografiche per crittografare e decrittografare i dati. Ciò significa che è possibile "distruggere" selettivamente i dati semplicemente distruggendo le relative chiavi di crittografia.

Risorse correlate

Data Security Compliance with the NAIC Data Security Law - Solution Brief

Data Security Compliance with the NAIC Data Security Law - Solution Brief

Learn how our Data Security Compliance solutions can help organizations with the new NAIC Data Security Law, by addressing essential requirements for risk management. The National Association of Insurance Commissioners (NAIC) Data Security Law (Model Law) requires...

Compliance Requirements for American Financial Services Organizations

Compliance Requirements for American Financial Services Organizations - eBook

This eBook covers some of the most important regulations affecting Financial Services organizations in the United States and how Thales cybersecurity solutions help meet requirements for risk management, data privacy, access management and much more. Included regulations:...

Altre norme fondamentali sulla protezione dei dati e sulla sicurezza

RGPD

REGOLAMENTO
ACTIVA ORA

Forse lo standard sulla privacy dei dati più completo fino ad oggi, il GDPR interessa qualsiasi organizzazione che elabora i dati personali dei cittadini dell'UE, indipendentemente da dove ha sede l'organizzazione.

PCI DSS

MANDATO
ACTIVA ORA

Qualsiasi organizzazione che svolge un ruolo nell'elaborazione dei pagamenti con carta di credito e debito deve rispettare i severi requisiti di conformità PCI DSS per l'elaborazione, l'archiviazione e la trasmissione dei dati dell'account.

Leggi sulla notifica delle violazioni dei dati

REGOLAMENTO
ACTIVA ORA

I requisiti di notifica della violazione dei dati a seguito della perdita di informazioni personali sono stati adottati dalle nazioni in tutto il mondo. Variano in base alla giurisdizione, ma includono quasi universalmente una clausola di "approdo sicuro".