En mayo de 2017, el Departamento de Servicios Financieros del Estado de Nueva York (NYDFS) publicó 23 NYCRR Parte 500, una nueva regla de seguridad cibernética. Este reglamento está ahora en pleno vigor, pero es posible que no esté claro qué es exactamente.
Desde su anuncio, este conjunto de requisitos ha sufrido algunos cambios y su lenguaje legal puede no estar claro. ¿Qué es la regulación de ciberseguridad del NYDFS y cómo le afecta? Miremos más de cerca.
¿Qué es la regulación de ciberseguridad de NYDFS?
Las listas de regulación de ciberseguridad de NYDFS requisitos de seguridad para servicios financieros en Nueva York. Al igual que el Reglamento general de protección de datos (GDPR) de Europa, estas reglas tienen como objetivo proteger los datos de los ciudadanos al hacer que las empresas cumplan con un estándar específico. En este caso, estos estándares provienen principalmente de el marco de ciberseguridad del NIST.
Bajo estas regulaciones, las compañías financieras de Nueva York deben:
- Revise periódicamente la seguridad y la privacidad de los datos de sus sistemas de TI.
- Registre los eventos de ciberseguridad y mantenga estos registros durante cinco años.
- Disponga de políticas y procedimientos para eliminar de forma segura la información personal que ya no necesitan.
- Limite el acceso a la información de identificación personal (PII) y revise periódicamente estos privilegios.
- Tener un plan escrito detallado sobre cómo descubrir, responder y recuperarse de incidentes de ciberseguridad.
- Notifique a NYDFS dentro de las 72 horas posteriores a un evento de ciberseguridad.
A diferencia de otras leyes similares, la regulación de ciberseguridad del NYDFS incluye instrucciones detalladas sobre en qué deberían consistir estos planes de seguridad y de informes. También requiere que las empresas se aseguren de que sus terceros estén seguros, no solo que sus operaciones internas lo sean.
Estos requisitos hacen que esta regulación sea una de las más amplias y estrictas de cualquier estado. Las empresas que las infrinjan podrían enfrentar fuertes multas, pero aún no está claro el alcance total de las sanciones.
¿A quién se aplica la regulación de ciberseguridad del NYDFS?
La regulación de ciberseguridad de NYDFS se aplica a cualquier persona o entidad que necesita una licencia del NYDFS. Eso cubre las compañías financieras y de seguros en Nueva York, que incluyen:
- Bancos.
- Las cooperativas de crédito.
- Empresas de inversión.
- Prestamistas autorizados.
- Corredores hipotecarios.
- Proveedores de seguros.
- Asociaciones de ahorro y crédito.
Estas entidades cubiertas incluyen negocios locales y compañías extranjeras con licencia para trabajar en Nueva York. Por ejemplo, aunque Deutsche Bank es una empresa alemana, tiene que cumplir con 23 NYCRR Parte 500 desde opera en la ciudad de Nueva York.
Hay algunas excepciones a esta lista. Las empresas con menos de 10 empleados, menos de $ 5 millones en ingresos anuales de Nueva York en los últimos tres años, o menos de $ 10 millones en activos totales de fin de año están exentas. También lo son las empresas que no almacenan ni procesan información privada, pero eso es poco probable para una empresa de servicios financieros.
¿Qué significa la regulación de ciberseguridad para usted?
Si vive o realiza operaciones bancarias en el estado de Nueva York, su institución probablemente esté sujeta a estas regulaciones. Incluso si no lo hace, la regulación de ciberseguridad de NYDFS aún podría aplicarse a su banco. Si tiene una sucursal que opera en el estado y cumple con los requisitos financieros, tendrá que cumplir.
Como cliente del banco, no es necesario que siga estos requisitos. Sin embargo, es posible que vea algunos cambios en la forma en que opera su institución financiera o aseguradora. Es posible que deba utilizar pasos de seguridad adicionales, como la autenticación multifactor (MFA) o ajustar sus permisos, ya que estas empresas mejorar sus medidas de ciberseguridad.
El marco de ciberseguridad del NIST, que inspiró estas reglas, incluye el intercambio de información oportuno, que puede afectarle. Si hay un incidente en su banco o aseguradora, es posible que tengan que notificárselo. Es probable que no tenga que hacer nada en respuesta, pero puede esperar recibir este tipo de mensajes.
Incluso si no tiene ninguna obligación legal bajo 23 NYCRR Parte 500, es mejor tener cuidado con su información financiera. Utilice siempre contraseñas únicas y seguras, habilite MFA cuando sea posible y nunca revele PII a una fuente desconocida. El rigor de estas regulaciones resalta la importancia de estos temas, así que tenga cuidado.
Los gobiernos se están tomando la ciberseguridad más en serio
La regulación de seguridad cibernética del NYDFS es uno de los muchos ejemplos recientes de gobiernos locales que emiten leyes de seguridad cibernética. A medida que las herramientas digitales se vuelven cada vez más comunes en la vida cotidiana, estas reglas solo crecerán.
Tanto los consumidores como las empresas deben mantenerse al día sobre estas regulaciones para asegurarse de que las cumplan. Estos cambios pueden parecer complicar las cosas al principio, pero son un paso necesario hacia una mejor seguridad.
Sus cuentas de redes sociales y teléfonos inteligentes recopilan datos sobre usted, y las agencias gubernamentales pueden utilizar esa información. He aquí cómo y por qué.
Leer siguiente
- Seguridad
- La seguridad cibernética
- Privacidad en línea
- Seguridad de datos
Shannon es una creadora de contenido ubicada en Filadelfia, Pensilvania. Ha estado escribiendo en el campo de la tecnología durante aproximadamente 5 años después de graduarse con un título en TI. Shannon es la editora gerente de la revista ReHack y cubre temas como ciberseguridad, juegos y tecnología empresarial.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Haga clic aquí para suscribirse
