Conformità della sicurezza dei dati con la legge NAIC Data Security
Modalità con cui le soluzioni di Thales contribuiscono alla conformità alla legge NAIC Data Security
La legge modello sulla sicurezza dei dati dell'Associazione nazionale dei commissari assicurativi (NAIC) (Model Law) richiede agli assicuratori e ad altre entità autorizzate dai dipartimenti assicurativi statali di sviluppare, implementare e mantenere un programma di sicurezza delle informazioni, di indagare su qualsiasi evento di sicurezza informatica e di notificare tali eventi al commissario assicurativo statale. La legge modello NAIC fornisce un modello per le leggi statali che regolano le compagnie assicurative. Le principali raccomandazioni della legge comprendono:
La legge si applica ai titolari di licenza di ciascun ente assicurativo statale. Sono comprese (con alcune eccezioni) le compagnie, le agenzie, gli agenti, i periti pubblici e i broker assicurativi.
La National Association of Insurance Commissioners ha adottato ufficialmente la legge sulla sicurezza dei dati nel quarto trimestre del 2017. A partire da maggio 2023, 22 Stati hanno emanato versioni della legge: Alabama, Alaska, Connecticut, Delaware, Hawaii, Indiana, Iowa, Kentucky, Louisiana, Maine, Maryland, Michigan, Minnesota, Mississippi, New Hampshire, North Dakota, Ohio, South Carolina, Tennessee, Vermont, Virginia e Wisconsin.
Le sanzioni suggerite per la mancata conformità alla legge NAIC Data Security sono fino a 500 dollari per violazione (con un massimo di 10.000 dollari). Se l'assicuratore / il produttore viola l'ordine di cessazione e desistenza del commissario, le sanzioni suggerite sono fino a 10.000 dollari per violazione (con un massimo di 50.000 dollari). Gli individui di queste istituzioni possono essere multati fino a 10.000 dollari per ogni violazione e possono essere condannati fino a cinque anni di carcere.
Thales aiuta le aziende a rispettare la legge NAIC Data Security soddisfacendo i requisiti essenziali per la gestione del rischio nel programma di sicurezza delle informazioni richiesto dalla NAIC.
Il licenziatario dovrà sviluppare, implementare e mantenere un programma di sicurezza delle informazioni che contenga salvaguardie amministrative, tecniche e fisiche per la protezione delle informazioni non pubbliche e del sistema informativo del licenziatario.
Parte D. 1:
"Progettare il proprio programma di sicurezza delle informazioni per mitigare i rischi identificati ... compreso l'uso di fornitori di servizi di terze parti".
CipherTrust Cloud Key Manager può ridurre i rischi di terze parti mantenendo in sede, sotto il pieno controllo dell'istituto finanziario, le chiavi che proteggono i dati sensibili conservati da fornitori cloud di terze parti nell'ambito dei sistemi BYOK (Bring Your Own Keys).
CipherTrust Transparent Encryption offre una completa separazione dei ruoli amministrativi, in cui solo gli utenti autorizzati e i processi possono visualizzare i dati non crittografati. A meno che non venga fornito un motivo valido per accedere ai dati, i dati sensibili archiviati in un cloud di terze parti non saranno accessibili in chiaro a utenti non autorizzati.
Le Data Security Solution di Thales offrono la gamma più completa di protezione dei dati, come Data Protection on Demand (DPoD) di Thales che fornisce elevata disponibilità e backup integrati per i servizi HSM Cloud Luna e CipherTrust Key Management basati su cloud e per le appliance di crittografia di rete HSE che offrono opzioni di azzeramento.
Parte D. 2, a:
"Implementare controlli di accesso ai sistemi informativi, ... proteggere dall'acquisizione non autorizzata di informazioni non pubbliche"
Le soluzioni di gestione delle identità e degli accessi OneWelcome di Thales limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al loro contesto. Con il supporto di un'autenticazione (MFA) avanzata, politiche di accesso e politiche di autorizzazione granulari contribuiscono a garantire che all'utente giusto sia concesso l'accesso alla risorsa giusta al momento giusto, riducendo al minimo il rischio di accesso non autorizzato.
Il modulo OneWelcome di Thales per la gestione del consenso e delle preferenze consente alle aziende di raccogliere il consenso dei consumatori finali in modo che le istituzioni finanziarie possano avere una chiara visibilità dei dati consentiti, permettendo loro di gestire l'accesso ai dati che sono autorizzati a utilizzare
CipherTrust Transparent Encryption crittografa i dati sensibili e applica politiche di gestione granulari dell'accesso da parte di utenti privilegiati, che possono essere implementate in base a utente, processo, tipo di file, ora del giorno e altri parametri. Offre una completa separazione dei ruoli, in cui solo gli utenti autorizzati e i processi possono visualizzare i dati non crittografati.
Parte D. 2, b:
"Identificare e gestire i dati ... che consentono all'azienda di raggiungere gli obiettivi aziendali ..."
CipherTrust Data Discovery and Classification individua dati sensibili, strutturati e non, nel cloud e on-premise. I modelli integrati permettono un'identificazione rapida dei dati regolati, il rilevamento dei rischi per la sicurezza informatica e l'individuazione di lacune relative alla compliance.
Parte D. 2, d:
"Proteggere mediante crittografia o altri mezzi appropriati tutte le informazioni non pubbliche durante la trasmissione su una rete esterna e tutte quelle memorizzate su un computer portatile o su un altro dispositivo o supporto informatico o di archiviazione portatile;"
Protezione dei dati a riposo:
CipherTrust Data Security Platform offre diverse funzionalità per la protezione dei dati a riposo in file, volumi e database. Tra queste:
Protezione di chiavi e certificati:
I Luna Hardware Security Module (HSM) proteggono le chiavi crittografiche e forniscono un ambiente FIPS 140-2 livello 3 temprato e a prova di manomissioni per un’elaborazione crittografica, una generazione e protezione delle chiavi e una crittografia sicure. Gli HSM Luna sono disponibili on-premise, nel cloud as-a-service e in ambienti ibridi.
Protezione dei dati in movimento:
Gli High Speed Encryptor (HSE) di Thales offrono una crittografia di rete indipendente dei dati in movimento (livelli 2, 3 e 4) garantendo la sicurezza dei dati durante gli spostamenti tra siti oppure da ambienti on-premise al cloud e viceversa. Le nostre soluzioni di crittografia di rete consentono ai clienti di proteggere meglio dati, video, file vocali e metadati da spionaggio, sorveglianza e intercettazione esplicita o sotto copertura, il tutto senza compromettere le prestazioni.
Parte D. 2, e:
"Adottare pratiche di sviluppo sicure per le applicazioni sviluppate internamente..."
CipherTrust Platform Community Edition semplifica l'esecuzione da parte di DevSecOps dei controlli di protezione dei dati nelle applicazioni ibride e multi-cloud. La soluzione comprende le licenze per CipherTrust Manager Community Edition, Data Protection Gateway e CipherTrust Transparent Encryption per Kubernetes.
CipherTrust Secrets Management è una soluzione all'avanguardia per la gestione dei segreti che protegge e automatizza l'accesso ai segreti negli strumenti DevOps e nei carichi di lavoro cloud, compresi segreti, credenziali, certificati, chiavi API e token.
Parte D. 2, g:
"Utilizzare controlli efficaci, che possono includere l'autenticazione a più fattori..."
SafeNet Trusted Access è una soluzione di gestione degli accessi basata sul cloud che fornisce un'autenticazione a più fattori commerciale, off-the-shelf, con la più ampia gamma di metodi e fattori di forma di autenticazione hardware e software per la protezione della sicurezza informatica.
Parte D. 2, i:
"Includere i percorsi di audit all'interno del programma di sicurezza delle informazioni progettato per rilevare e rispondere agli eventi di cybersecurity"
Le Data Security Solution di Thales mantengono tutte ampi registri di accesso e impediscono l'accesso non autorizzato. Nello specifico, i log e report sulle informazioni di sicurezza di CipherTrust Transparent Encryption semplificano l’elaborazione dei rapporti di conformità e velocizzano la risposta agli eventi di sicurezza informatica grazie a informazioni sulla sicurezza e a sistemi SIEM esterni.
Inoltre, CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) controlla l'attività di I/O anomala sui file che ospitano dati aziendali critici su base progettuale e consente agli amministratori di avvisare / bloccare le attività sospette prima che il ransomware possa impossessarsi degli endpoint / dei server. Difende inoltre dal ransomware anche quando questo viene installato prima di CTE-RWP.
SafeNet Trusted Access consente alle aziende di rispondere e mitigare il rischio di violazione dei dati, fornendo un audit trail immediato e aggiornato di tutti gli eventi di accesso a tutti i sistemi.
Parte D. 2, k:
"Sviluppare, implementare e mantenere procedure per lo smaltimento sicuro delle informazioni non pubbliche in qualsiasi formato."
Le soluzioni di crittografia e tokenizzazione CipherTrust Data Security Platform si basano su chiavi crittografiche per crittografare e decrittografare i dati. Ciò significa che è possibile "distruggere" selettivamente i dati semplicemente distruggendo le relative chiavi di crittografia.
Learn how our Data Security Compliance solutions can help organizations with the new NAIC Data Security Law, by addressing essential requirements for risk management. The National Association of Insurance Commissioners (NAIC) Data Security Law (Model Law) requires...
This eBook covers some of the most important regulations affecting Financial Services organizations in the United States and how Thales cybersecurity solutions help meet requirements for risk management, data privacy, access management and much more. Included regulations:...
Forse lo standard sulla privacy dei dati più completo fino ad oggi, il GDPR interessa qualsiasi organizzazione che elabora i dati personali dei cittadini dell'UE, indipendentemente da dove ha sede l'organizzazione.
Qualsiasi organizzazione che svolge un ruolo nell'elaborazione dei pagamenti con carta di credito e debito deve rispettare i severi requisiti di conformità PCI DSS per l'elaborazione, l'archiviazione e la trasmissione dei dati dell'account.
I requisiti di notifica della violazione dei dati a seguito della perdita di informazioni personali sono stati adottati dalle nazioni in tutto il mondo. Variano in base alla giurisdizione, ma includono quasi universalmente una clausola di "approdo sicuro".