Thales banner

Conformidade da segurança dos dados com a Lei de Segurança dos Dados da NAIC

Como é que as soluções da Thales ajudam na conformidade com a Lei de Segurança dos Dados da NAIC

A Lei de Segurança dos Dados da NAIC

Américas

A Lei de segurança dos dados da NAIC (National Association of Insurance Commissioners) (Lei Modelo) exige que as seguradoras e outras entidades licenciadas pelos departamentos de seguros estaduais desenvolvam, implementem e mantenham um programa de segurança da informação; investiguem quaisquer eventos de cibersegurança; e notifiquem o comissário estadual de seguros sobre esses eventos. A lei modelo da NAIC fornece um modelo para as leis a nível estatal que regulam as companhias de seguros. As principais recomendações da lei incluem:

  • Desenvolver um programa escrito de segurança da informação
  • Atribuir responsabilidade pela segurança da informação
  • Efetuar avaliações periódicas dos riscos
  • Implementar as principais salvaguardas em matéria de cibersegurança
  • Preparar planos e procedimentos de resposta a incidentes
  • Monitorizar regularmente e apresentar relatórios sobre o estado do programa
  • Implementar a supervisão dos prestadores de serviços
  • Disponibilizar supervisão a nível do Conselho de Administração

Que empresas estão sujeitas à Lei de Segurança dos Dados da NAIC?

A lei aplica-se aos titulares de licenças de cada agência estatal de seguros. Isto inclui (com algumas exceções) empresas do setor dos seguros, agências, agentes, reguladores públicos e corretores.

Quando é que a Lei de Segurança dos Dados da NAIC entrou em vigor?

A Associação Nacional dos Comissários de Seguros (National Association of Insurance Commissioners) adotou oficialmente a Lei da Segurança dos Dados no quarto trimestre de 2017. Em maio de 2023, 22 estados já tinham promulgado versões desta lei: Alabama, Alasca, Connecticut, Delaware, Havai, Indiana, Iowa, Kentucky, Louisiana, Maine, Maryland, Michigan, Minnesota, Mississippi, New Hampshire, Dakota do Norte, Ohio, Carolina do Sul, Tennessee, Vermont, Virgínia e Wisconsin.

Quais são as sanções por incumprimento da Lei de Segurança dos Dados da NAIC?

As coimas sugeridas para o não cumprimento da Lei de Segurança dos Dados da NAIC são de até 500 $ por infração (sujeito a um máximo de 10 000 $). Se a seguradora/produtor violar a ordem de cessação e desistência do comissário, as coimas sugeridas são de até 10 000 $ por infração (sujeito a um máximo de 50 000 $). As pessoas que trabalham nestas instituições podem ser multadas até 10 000 $ por cada infração e podem também ser condenadas a uma pena de prisão até cinco anos.

Como é que a Thales pode ajudar na conformidade com a Lei de Segurança dos Dados da NAIC

A Thales ajuda as organizações a cumprir a Lei de Segurança dos Dados da NAIC, ao abordar os requisitos essenciais para a gestão de riscos no Programa de Segurança da Informação de uma organização, exigido pela NAIC.

Lei de Segurança dos Dados da NAIC, secção 4. Programa de segurança da informação

O Licenciado deve desenvolver, implementar e manter um Programa de Segurança da Informação que contenha salvaguardas administrativas, técnicas e físicas para a proteção da Informação Não Pública e do Sistema de Informação do Licenciado.

A Thales ajuda as organizações ao:

  • Reduzir o risco de terceiros
  • Controlar o acesso a dados e sistemas de informação confidenciais
  • Identificar e gerir dados confidenciais
  • Encriptar dados em repouso e em movimento
  • Proteger o desenvolvimento de aplicações
  • Implementar autenticação multifator
  • Monitorizar e realizar ações de auditoria
  • Garantir a eliminação de informações não públicas

Requisito da NAIC:

Parte D. 1:

"Conceber o seu programa de segurança da informação para atenuar os riscos identificados ... incluindo a sua utilização de prestadores de serviços terceiros"

Soluções da Thales:

O CipherTrust Cloud Key Manager pode reduzir os riscos de terceiros ao manter no local, sob o controlo total da instituição financeira, as chaves que protegem os dados confidenciais alojados por fornecedores de cloud terceiros ao abrigo de sistemas "bring your own keys" (BYOK).

O CipherTrust Transparent Encryption oferece uma separação completa das funções administrativas onde apenas utilizadores e processos autorizados podem ver dados não encriptados. A menos que seja fornecida uma razão válida para aceder aos dados, os dados confidenciais armazenados numa nuvem de terceiros não estarão acessíveis em texto não encriptado a utilizadores não autorizados.

As soluções Data Security da Thales oferecem a gama mais abrangente de proteção de dados — tais como a Thales Data Protection on Demand (DPoD) que fornece alta disponibilidade e cópias de segurança incorporadas aos seus serviços baseados na nuvem HSM Luna Cloud e CipherTrust Key Management — às aplicações de encriptação de rede HSE que fornecem opções para reposição.

Parte D. 2, a:

"Implementar controlos de acesso nos sistemas de informação, ... proteger contra a aquisição não autorizada de informações não públicas;"

As soluções de identity & access management OneWelcome da Thales limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto. Com o apoio de uma autenticação forte (MFA), as políticas de acesso granular e as políticas de autorização refinadas ajudam a garantir que o utilizador certo tem acesso ao recurso certo no momento certo, minimizando assim o risco de acesso não autorizado.

O módulo OneWelcome Consent & Preference Management da Thales permite às organizações recolher o consentimento dos consumidores finais, de modo a que as instituições financeiras possam ter uma visibilidade clara dos dados consentidos, permitindo-lhes assim gerir o acesso aos dados que estão autorizados a utilizar.

O CipherTrust Transparent Encryption encripta dados confidenciais e aplica políticas granulares de gestão de acesso para utilizadores com privilégios que podem ser aplicadas por utilizador, processo, tipo de ficheiro, hora do dia e outros parâmetros. Oferece uma separação completa de funções em que apenas os utilizadores e processos autorizados podem ver dados não encriptados.

Parte D. 2, b:

"Identificar e gerir os dados ... que permitem à organização atingir os objetivos comerciais ..."

A CipherTrust Data Discovery and Classification identifica dados confidenciais estruturados e não estruturados no local e na nuvem. Os modelos incorporados permitem a rápida identificação de dados regulamentados, destacam os riscos de cibersegurança e ajudam a descobrir lacunas na conformidade.

Parte D. 2, d:

“Proteger, através de encriptação ou outros meios adequados, toda a informação não pública transmitida através de uma rede externa e toda a informação não pública armazenada num computador portátil ou noutro dispositivo ou suporte informático ou de armazenamento portátil;”

Proteger os dados em repouso:

A CipherTrust Data Security Platform oferece vários recursos para proteger dados em repouso em ficheiros, volumes e bases de dados. Incluindo:

  • A CipherTrust Transparent Encryption fornece encriptação de dados em repouso com gestão centralizada de chaves e controlo de acesso de utilizadores privilegiados. Isto protege os dados onde quer que residam, no local, em várias nuvens e em ambientes de grandes volumes de dados e repositórios.
  • O CipherTrust Tokenization permite a pseudonimização de informações confidenciais em bases de dados, mantendo a capacidade de analisar dados agregados
  • O CipherTrust Enterprise Key Management simplifica e reforça a gestão de chaves em ambientes empresariais e de nuvem num conjunto diversificado de casos de utilização.

Proteger chaves e certificados:

Os Hardware Security Modules Luna (HSM) protegem chaves criptográficas e fornecem um ambiente FIPS 140-2 Nível 3 reforçado e inviolável para processamento criptográfico seguro, geração e proteção de chaves, encriptação e muito mais. Os HSM Luna estão disponíveis no local, na nuvem como um serviço e em ambientes híbridos.

Proteger dados em movimento:

Os High Speed Encryptors (HSE) da Thales fornecem encriptação de dados em movimento independente da rede (camadas 2, 3 e 4), garantindo que os dados estão seguros à medida que se deslocam de um local para outro ou do local para a nuvem e vice-versa. As nossas soluções de encriptação de rede permitem que os clientes protejam melhor os dados, o vídeo, a voz e os metadados contra escutas, vigilância e interceção aberta e discreta — sem comprometer o desempenho.

Parte D. 2, e:

“Adotar práticas de desenvolvimento seguras para as aplicações desenvolvidas internamente...”

A CipherTrust Platform Community Edition facilita aos DevSecOps a implementação de controlos de proteção de dados em aplicações híbridas e multi-nuvem. A solução inclui licenças para o CipherTrust Manager Community Edition, Data Protection Gateway e CipherTrust Transparent Encryption for Kubernetes.

O CipherTrust Secrets Management é uma solução de gestão de segredos de última geração, que protege e automatiza o acesso a segredos em ferramentas DevOps e cargas de trabalho na nuvem, incluindo segredos, credenciais, certificados, chaves de API e tokens.

Parte D. 2, g:

"Utilizar controlos eficazes, que podem incluir a autenticação multifator ..."

O SafeNet Trusted Access é uma solução de gestão de acesso baseada na nuvem que fornece autenticação multifator comercial e pronta a utilizar com a mais vasta gama de métodos e formatos de autenticação de hardware e software para proteção em matéria de cibersegurança.

Parte D. 2, i:

“Incluir pistas de auditoria no programa de segurança da informação concebido para detetar e responder a eventos de cibersegurança”

As Thales Data Security Solutions mantêm registos de acesso extensivos e impedem o acesso não autorizado. Em particular, os registos e relatórios de inteligência de segurança CipherTrust Transparent Encryption simplificam os relatórios de conformidade e aceleram a resposta a eventos de cibersegurança utilizando as principais informações de segurança e sistemas SIEM externos.

Além disso, o CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) fica atento a atividades anormais de E/S em ficheiros que alojam dados críticos para a empresa, por processo. Permite aos administradores alertar/bloquear atividades suspeitas antes que o ransomware se apodere dos seus terminais/servidores. Defende contra ransomware mesmo quando o ransomware é instalado antes do CTE-RWP.

O SafeNet Trusted Access permite que as organizações respondam e reduzam o risco de violação de dados, fornecendo uma pista de auditoria imediata e atualizada de todos os eventos de acesso a todos os sistemas.

Parte D. 2, k:

“Desenvolver, implementar e manter procedimentos para a eliminação segura de informações não públicas em qualquer formato”.

As soluções de encriptação e tokenização da CipherTrust Data Security Platform utilizam chaves criptográficas para encriptar e desencriptar dados. Isto significa que pode “destruir” dados seletivamente, simplesmente destruindo as chaves de encriptação desses dados.

Recursos relacionados

Data Security Compliance with the NAIC Data Security Law - Solution Brief

Data Security Compliance with the NAIC Data Security Law - Solution Brief

Learn how our Data Security Compliance solutions can help organizations with the new NAIC Data Security Law, by addressing essential requirements for risk management. The National Association of Insurance Commissioners (NAIC) Data Security Law (Model Law) requires...

Compliance Requirements for American Financial Services Organizations

Compliance Requirements for American Financial Services Organizations - eBook

This eBook covers some of the most important regulations affecting Financial Services organizations in the United States and how Thales cybersecurity solutions help meet requirements for risk management, data privacy, access management and much more. Included regulations:...

Outros regulamentos importantes de proteção e segurança de dados

GDPR

REGULAMENTO
ATIVO AGORA

Talvez o padrão de privacidade de dados mais abrangente até o momento, o GDPR afeta qualquer organização que processa dados pessoais de cidadãos da UE - independentemente de onde a organização está sediada.

PCI DSS

MANDATO
ATIVO AGORA

Qualquer organização que desempenhe uma função no processamento de pagamentos com cartão de crédito e débito deve cumprir os rígidos requisitos de conformidade do PCI DSS para o processamento, armazenamento e transmissão de dados da conta.

Leis de notificação de violação de dados

REGULAMENTO
ATIVO AGORA

Os requisitos de notificação de violação de dados após a perda de informações pessoais foram promulgados por países em todo o mundo. Eles variam de acordo com a jurisdição, mas quase universalmente incluem uma cláusula de “porto seguro”.