Conformidade com a lei modelo de segurança de dados de seguros da NAIC

Resumo das normas

Segundo a seção 2 da lei:

O objetivo e a intenção desta lei é estabelecer padrões de segurança de dados e padrões para a investigação e notificação à comissão sobre eventos de cibersegurança aplicável aos licenciados, conforme definido na seção 3.

A seção 3 define "licenciado" como:

"Licenciado" significa qualquer pessoa licenciada, autorizada a operar, ou registrada, ou obrigada a ser licenciada, autorizada, ou registrada de acordo com as leis de seguros deste estado ...

A seção 3 também diz:

"Evento de cibersegurança" significa um evento que resulta em acesso não autorizado, interrupção ou uso indevido de um sistema de informação ou informações armazenadas nesse sistema de informação.

O termo "evento de cibersegurança" não inclui a aquisição não autorizada de informações não públicas criptografadas se a criptografia, processo ou chave não for também adquirida, liberada ou utilizada sem autorização.

Como a Thales pode ajudar

Copiamos abaixo determinadas seções da lei modelo com as quais a Thales pode ajudar sua empresa a cumprir:

Seção 4. Programa de segurança da informação

D. Gerenciamento de risco

Com base em sua avaliação de risco, o licenciado deverá:

(2) Determinar quais medidas de segurança listadas abaixo são apropriadas e implementá-las.

(a) Colocar controles de acesso em sistemas de informação, incluindo controles para autenticar e permitir o acesso somente a pessoas autorizadas para proteger contra a aquisição não autorizada de informações não públicas;

(d) Proteger por criptografia ou outros meios apropriados todas as informações não públicas transmitidas por uma rede externa e todas as informações não públicas armazenadas em um laptop, outro computador portátil, dispositivo ou mídia de armazenamento;

(e) Adotar práticas seguras de desenvolvimento para aplicativos desenvolvidos internamente e utilizados pelo licenciado...;

(g) Utilizar controles efetivos, que podem incluir procedimentos de autenticação multifator para qualquer indivíduo que acesse informações não públicas;

(i) Incluir registros de auditoria no programa de segurança da informação criado para detectar e responder a eventos de cibersegurança...;

(k) Desenvolver, implementar e manter procedimentos para o descarte seguro de informações não públicas em qualquer formato

Seção 5. Investigação de eventos de cibersegurança

Se o licenciado souber que um evento de cibersegurança ocorreu ou pode ter ocorrido, o licenciado ou fornecedor e/ou prestador de serviços externo designado para agir em nome do licenciado deverá realizar uma investigação imediatamente.

1. https://content.naic.org/sites/default/files/inline-files/MDL-668.pdf?39

Resumo da conformidade

A Thales poder ajudar sua empresa a cumprir as diversas normas da lei modelo através de:

Seção 4 D 2 (a) e (g) Implementação de controles de acesso em sistemas de informação

O CipherTrust Manager permite às empresas limitar o acesso do usuário a sistemas de informação que incluem informações não públicas.

Seção 4 D 2 (d) Proteger por criptografia ou outros meios apropriados, todas as informações não públicas

A solução CipherTrust Transparent Encryption da Thales protege os dados com criptografia de dados em repouso de arquivos e volumes, controles de acesso e registro de auditoria de acesso aos dados sem modificar programas, bancos de dados ou infraestrutura. A instalação do software de criptografia transparente de arquivos é simples, dimensionável e rápida, com agentes instalados acima do sistema de arquivos em servidores ou máquinas virtuais para impor segurança de dados e políticas de conformidade. O gerenciamento de políticas e chaves de criptografia é realizado pelo CipherTrust Manager.

A solução CipherTrust Tokenization permite que administradores estabeleçam políticas para devolver um token de campo inteiro ou mascarar dinamicamente partes de um campo. Com os recursos de tokenização com preservação de formato da solução, os administradores podem restringir o acesso a ativos confidenciais e ao mesmo tempo formatar os dados protegidos de uma maneira que permita que muitos usuários façam seus trabalhos.

Seção 4 D 2 (e) Adoção práticas seguras de desenvolvimento para aplicativos desenvolvidos internamente

Criada para fornecedores de software de todos os tamanhos e para empresas que desenvolvem seus próprios códigos, a solução Thales Code Signing permite que você implemente processos de assinatura de código de alta garantia e eficiência para proteger seu software contra adulterações e trazer a governança apropriada para suas práticas de publicação de software.

Seção 4 D 2 (i) Inclusão de registro de auditoria; e Seção 5. Investigação de evento de cibersegurança

A CipherTrust Data Security Platform possui registros de inteligência de segurança que geram registros de auditoria criados para detectar e responder a eventos de cibersegurança que têm uma probabilidade razoável de prejudicar materialmente qualquer parte material das operações normais da empresa. Esses registros também permitem a investigação de eventos de segurança cibernética.

Seção 4 D 2(k) Desenvolver, implementar e manter procedimentos para o descarte seguro de informações não públicas em qualquer formato

Todas as soluções de criptografia e tokenização da Thales utilizam chaves criptográficas para criptografar e decodificar dados. Isso significa que você pode seletivamente "destruir" os dados simplesmente destruindo as chaves de criptografia desses dados.

Trabalhado juntos

A Thales pode trabalhar com você e seus prestadores de serviços terceirizados para garantir que sua segurança atenda a seus próprios padrões rigorosos. Além disso, a Thales possui produtos e serviços especializados de cibersegurança para empresas que utilizam nuvem, SaaS e outros serviços de terceiros. Eles incluem criptografia multinuvem com chaves centralizadas e gerenciamento de controle de acesso, assim como gerenciamento e proteção de chaves em nuvem.