Die Verstaatlichung einer New Yorker Verordnung könnte Verstöße gegen das Kapital eines Stils bekämpfen

Michael Magrath, 8. August 2019
Capital One

Im März 2019 erlitt Capital One einen Datenverstoß, durch den die PII von fast 106 Millionen Kunden der Bank aufgedeckt wurden. Dieser Verstoß ist ein klassisches Beispiel für die „Insider-Bedrohung“, die seit dem Aufhängen eines Schindels durch den ersten Händler und dem Verkauf von Waren besteht, und ist sicherlich nicht auf das digitale Zeitalter beschränkt.

Die Insider-Bedrohung beschränkt sich nicht nur auf Mitarbeiter, sondern erstreckt sich auch auf Drittanbieter, wie dies bei Capital One der Fall war.

Die Bedrohung durch Drittanbieter ist sowohl für CISOs als auch für Aufsichtsbehörden ein Problem, weshalb die Cybersicherheitsanforderungen des New York State Department of Financial Services für Finanzdienstleistungsunternehmen (23 NYCRR 500) spezifische Anforderungen für Drittanbieter enthalten. Gemäß der Verordnung müssen Banken und Finanzdienstleister ihre eigenen Systeme sichern und Risikomanagementprogramme von Drittanbietern implementieren.

Zufälligerweise trat die Anwendbarkeit der Verordnung für Drittanbieter erst im März dieses Jahres in Kraft. Gemäß der Verordnung, Abschnitt 500.11, „muss die Organisation schriftliche Verfahren und Richtlinien dokumentieren, um sicherzustellen, dass Risikomanagementprogramme von Drittanbietern Informationssysteme und nicht öffentliche Informationen schützen.“

Darüber hinaus müssen Richtlinien und Verfahren für Drittanbieter relevante Richtlinien für die Due Diligence sowie vertragliche Schutzmaßnahmen enthalten, die Folgendes betreffen:

  • Zugriffskontrollen, einschließlich Multi-Faktor-Authentifizierung 
  • Verschlüsselung
  • Benachrichtigungen an die primäre Organisation als Reaktion auf ein Cybersicherheitsereignis
  • Zusicherungen und Gewährleistungen für die Cybersicherheitsrichtlinien und -verfahren Dritter.

Frost & Sullivan 2019 Best Practices Award für risikobasierte Authentifizierung

Erfahren Sie, warum Frost & Sullivan OneSpan mit dem Best Practices Award 2019 für die intelligente adaptive Authentifizierungslösung von OneSpan ausgezeichnet hat - und wie Sie die digitale Customer Journey mit der richtigen Authentifizierung zum richtigen Zeitpunkt am besten schützen können.

Jetzt herunterladen

Wie auf Payments Source erläutert, ist die gute Nachricht, dass der Täter identifiziert und verhaftet wurde, aber es bleibt abzuwarten, wie schwer die Strafen sind, die Capital One von den Aufsichtsbehörden des Bundes und der Länder erhalten wird. Obwohl Capital One seinen Hauptsitz in Virginia hat, ist es berechtigt, Geschäfte in New York mit Niederlassungen im Bundesstaat zu tätigen, und fällt somit in die Zuständigkeit der NYDFS .

Die US-amerikanische Federal Trade Commission hat kürzlich Änderungen an der Schutzregel und der Datenschutzregel im Rahmen der Gramm-Leach-Bliley-Akt Dies erfordert, dass Finanzinstitute ihren Kunden ihre Praktiken zum Informationsaustausch erläutern und Kundendaten schützen.

Nach der Sicherheitsregel müssen Finanzinstitute Maßnahmen ergreifen, um die Sicherheit von Kundeninformationen zu gewährleisten. Sie sind dafür verantwortlich, Maßnahmen zu ergreifen, um sicherzustellen, dass ihre verbundenen Unternehmen und Dienstleister die Kundeninformationen in ihrer Obhut schützen.

Gemäß der Datenschutzregel, die unter Zahlungsquelle erläutert wird, muss ein Finanzinstitut Kunden über seine Praktiken zum Informationsaustausch informieren und Kunden die Weitergabe ihrer Informationen an bestimmte Dritte verweigern. Der Vorschlag würde im Allgemeinen von allen Finanzinstituten verlangen, alle Kundendaten zu verschlüsseln, Zugriffskontrollen zu implementieren, um zu verhindern, dass nicht autorisierte Benutzer auf Kundeninformationen zugreifen, und die Multifaktorauthentifizierung für den Zugriff auf Kundendaten zu verwenden.

Die vorgeschlagenen Änderungen, die im März eingeführt wurden, orientieren sich an den Cybersicherheitsbestimmungen der New Yorker Aufsichtsbehörde, würden jedoch im Gegensatz zur NYDFS-Verordnung für alle Finanzinstitute in den USA gelten

Dieser Artikel wurde ursprünglich am veröffentlicht PaymentsSource.com am 5. August 2019.

Michael Magrath ist dafür verantwortlich, die Roadmap für die OneSpan-Lösung weltweit an Standards und behördlichen Anforderungen auszurichten. Er ist Vorsitzender der Government Deployment Working Group der FIDO Alliance und Mitglied des Board of Directors der Electronic Signature and Records