Normas de cibersegurança NYDFS

Resumo das normas

Normas de cibersegurança do departamento de serviços financeiros do estado de Nova York para empresas de serviços financeiros:

Estas normas foram criadas para promover a proteção de informações de clientes, bem como os sistemas de tecnologia da informação de entidades regulamentadas. A regulamentação exige que cada empresa avalie seu perfil de risco específico e crie um programa para tratar de seus riscos de forma eficiente. A diretoria superior deve levar esta questão a sério, ser responsável pelo programa de cibersegurança da empresa e apresentar um certificado anual confirmando a conformidade com estas normas. O programa de cibersegurança de uma entidade regulamentada deve garantir a segurança e a integridade da instituição e proteger seus clientes.

É fundamental que todas as instituições regulamentadas que ainda não o fizeram adotem rápida e urgentemente um programa de cibersegurança e que todas as entidades regulamentadas fiquem sujeitas a padrões mínimos para seus programas. O número de eventos cibernéticos tem aumentado constantemente e as estimativas de risco potencial para a nossa indústria de serviços financeiros são muito altas. A adoção do programa descrito nestas normas é uma prioridade para o estado de Nova York.1

Copiamos abaixo determinadas seções do 23 NYCRR Part 500 com as quais a Thales pode ajudar sua empresa a cumprir:

Seção 500.06 Registro de auditoria

Cada entidade abrangida deve ... incluir registros de auditoria criados para detectar e responder a eventos de cibersegurança que tenham uma probabilidade razoável de prejudicar materialmente qualquer parte material das operações normais da entidade abrangida.

Seção 500.07 Privilégios de acesso

Como parte de seu programa de cibersegurança, com base na avaliação de risco da entidade abrangida, a mesma deverá limitar os privilégios de acesso dos usuários aos sistemas de informação que fornecem acesso a Informações não públicas e deverá revisar periodicamente esses privilégios de acesso

Seção 500.08 Segurança de aplicativos

O programa de cibersegurança de cada entidade abrangida deve incluir procedimentos, diretrizes e padrões escritos destinados a garantir o uso de práticas de desenvolvimento seguro para aplicativos desenvolvidos internamente e utilizados pela entidade, e ter procedimentos para avaliar, analisar ou testar a segurança de aplicativos desenvolvidos externamente e utilizados pela entidade dentro do contexto do ambiente tecnológico da mesma.

Seção 500.11 Política de segurança para prestadores de serviços terceirizados

Cada entidade abrangida deverá implementar políticas e procedimentos escritos destinados a garantir a segurança dos sistemas de informação e informações não públicas que são acessíveis ou mantidas por prestadores de serviços terceirizados.

Seção 500.14 Treinamento e monitoramento

Como parte de seu programa de cibersegurança, cada entidade abrangida deverá ... implementar políticas, procedimentos e controles baseados em riscos, criados para monitorar a atividade de usuários autorizados e detectar o acesso não autorizado, uso ou adulteração de informações não públicas por esses usuários autorizados...

Seção 500.15 Criptografia de informações não públicas

Como parte de seu programa de cibersegurança, com base em sua avaliação de risco, cada entidade abrangida deverá implementar controles, incluindo criptografia, para proteger informações não públicas mantidas ou transmitidas pela entidade abrangida, tanto em trânsito por redes externas quanto em repouso.

¹https://www.governor.ny.gov/sites/governor.ny.gov/files/atoms/files/Cybersecurity_Requirements_Financial_Services
_23NYCRR500.pdf

Resumo da conformidade

A Thales poder ajudar sua empresa a cumprir as diversas normas da 23 NYCRR Part 500 usando:

Seção 500.06 Registro de auditoria

A solução CipherTrust Manager da Thales tem auditoria e relatórios consistentes que se integram com os sistemas SIEM para detectar e responder a eventos de cibersegurança que têm uma probabilidade razoável de prejudicar qualquer parte material das operações normais da empresa.

Seção 500.07 Privilégios de acesso

O CipherTrust Manager permite às empresas limitar os privilégios de acesso do usuário aos sistemas de informação que fornecem acesso a informações não públicas.

Seção 500.08 Segurança de aplicativos

A solução CipherTrust Application Data Protection permite que sua empresa criptografe arquivos ou colunas específicas em bancos de dados, nodes de big data e ambientes de plataforma como serviço (PaaS). Este produto possui APIs documentadas baseadas em padrões que podem ser utilizadas para realizar operações criptográficas e de gerenciamento de chaves em seu sistema tecnológico.

Seção 500.11 Política de segurança para prestadores de serviços terceirizados

A Thales possui produtos e serviços especializados de cibersegurança para empresas que utilizam serviços públicos em nuvem e outros serviços de terceiros. Esses serviços incluem o gerenciamento de chaves de criptografia multinuvem e a capacidade de trazer sua própria criptografia para a nuvem.

Seção 500.15 Criptografia de informações não públicas

A solução CipherTrust Transparent Encryption da Thales protege os dados com criptografia de dados em repouso de arquivos e volumes, controles de acesso e registro de auditoria de acesso aos dados sem modificar programas, bancos de dados ou infraestrutura. A instalação do software de criptografia transparente de arquivos é simples, dimensionável e rápida, com agentes instalados acima do sistema de arquivos em servidores ou máquinas virtuais para aplicar segurança dos dados e políticas de conformidade. O gerenciamento de políticas e chaves de criptografia é realizado pelo CipherTrust Manager e conexões.

A Thales também oferece High Speed Encryptors (HSEs) que fornecem criptografia de dados em movimento independente da rede (camadas 2, 3 e 4) garantindo a segurança dos dados à medida que eles se movem de local para local, ou de local para a nuvem e vice-versa. Nossas soluções HSE permitem que nossos clientes possam proteger melhor dados, vídeos, gravações de voz e metadados contra escuta, vigilância e interceptação aberta e encoberta - tudo a um custo acessível e sem comprometer o desempenho.