Beachtung

Die NYDFS reguliert rund 1.500 Banken und Finanzinstitute. Dazu gehören US Institutionen sowie viele internationale Institutionen mit Niederlassungen in New York. 

Das Cybersicherheitsanforderungen für Finanzdienstleistungsunternehmen besteht aus 22 Bestimmungen, nach denen Finanzdienstleistungsunternehmen Daten besser schützen müssen. Finanzinstitute müssen wirksame Kontrollen durchführen, um den unbefugten Zugriff auf Informationssysteme oder nicht öffentliche Informationen durch Risikobewertung zu verhindern. Die Mittel, mit denen sie dies tun, können jedoch auch umfassen Multi-Faktor-Authentifizierung , biometrische Authentifizierung , oder risikobasierte Authentifizierung .

Erfahren Sie mehr in diesem Blog: NYDFS Cybersecurity-Anforderungen für Finanzdienstleistungsunternehmen

Die EU Zahlungsdiensterichtlinie (PSD2) beinhaltet Vorschriften für die starke Kundenauthentifizierung (SCA). Finanzinstitute müssen diese Vorschriften seit September 2019 einhalten Bestimmte Zahlungsdienstleister (PSPs) könnten sich jedoch für eine außergewöhnliche Verlängerung im Zusammenhang mit Kartenzahlungen für den E-Commerce qualifizieren eine aktuelle EBA-Stellungnahme .

Diese Anforderungen umfassen fünf Kriterien für die Einhaltung:

• Starke Authentifizierung: Die Authentifizierung muss auf zwei oder mehr Faktoren basieren, einschließlich Kennwörtern oder PIN, Token oder Mobilgeräten oder Biometrie.

• Transaktionsrisikoanalyse: Erfordert die Verwendung einer Transaktionsrisikoanalyse zur Abschreckung betrügerischer Zahlungen. 

• Replikationsschutz: PSD2 schreibt die Verwendung dedizierter Gegenmaßnahmen zum Klonen mobiler Apps in Anwendungen vor.

• Dynamische Verknüpfung: Bei Zahlungsvorgängen muss der Authentifizierungscode dynamisch mit dem Betrag und dem Zahlungsempfänger verknüpft werden.

• Unabhängige Elemente: Zahlungsdienstleister müssen Sicherheitsmaßnahmen ergreifen, um das Risiko zu minimieren, das sich aus kompromittierten Mobilgeräten ergibt.

Der neue EU-Zertifizierungsrahmen für Cybersicherheit, der ursprünglich im Jahr 2017 vorgeschlagen wurde, wurde entwickelt, um die Cybersicherheit von Online-Diensten und Verbrauchergeräten, einschließlich IoT-Geräten, zu verbessern. Nach der formellen Genehmigung durch das Europäische Parlament wird es im EU-Amtsblatt veröffentlicht und tritt sofort offiziell in Kraft. Weitere Informationen finden Sie unter die offizielle Pressemitteilung.

Um die Widerstandsfähigkeit gegen Cyber-Bedrohungen zu verbessern, hat die Saudi-Arabische Währungsbehörde (SAMA) die SAMA Cyber Security Framework im Mai 2017. Dies folgt einem globalen Trend, bei dem Regulierungsbehörden der Regierung und des Bankensektors auf der ganzen Welt Cybersicherheitsstandards und -richtlinien einführen. 

Die vier Hauptaspekte des Frameworks umfassen:

• Identitäts- und Zugriffsverwaltung
• Sicherer Kommunikationskanal für Online- und Mobile-Banking
• Abschirmung mobiler Anwendungen
• Aufdeckung und Verhinderung von Betrug

Erfahren Sie mehr in diesem Blog: Einhaltung des SAMA Cyber Security Framework  

Die Monetary Authority of Singapore (MAS) hat Richtlinien für das Technologierisikomanagement (TRM) und Richtlinien für das Business Continuity Management (BCM) herausgegeben.

Die TRM-Richtlinien enthalten Anweisungen für die Sicherheit der Softwareentwicklung, die Cyberüberwachung, die Simulation von gegnerischen Angriffen und den Umgang mit den Cyberrisiken, die vom Internet der Dinge ausgehen. Das TRM enthält auch einen Abschnitt zur „Sicherheit von Online-Finanzdienstleistungen“, der Folgendes abdeckt:

• Abschnitt 14.1.7 „Verwurzelte oder Geräte mit Jailbreak sollten daran gehindert werden, auf die mobilen Anwendungen des FI zuzugreifen, um Finanztransaktionen durchzuführen, da solche Geräte anfälliger für Malware und Sicherheitslücken sind.“

• Sec. 14.2.1 "Die Multi-Faktor-Authentifizierung sollte bei der Anmeldung für Online-Finanzdienstleistungen bereitgestellt werden, um den Kundenauthentifizierungsprozess zu sichern."

• Sec. 14.2.4 „FI kann einen risikobasierten Ansatz anwenden und eine geeignete risikobasierte oder adaptive Authentifizierung implementieren, die Kunden Authentifizierungsoptionen bietet, die dem Risikograd der Transaktion und der Sensibilität der Informationen entsprechen.“ 

• Sec. 14.2.8 „Wenn Soft Token für die Kundenauthentifizierung verwendet werden, sollten geeignete Maßnahmen wie die Überprüfung der Identität des Kunden, das Erkennen und Blockieren von gerooteten oder Jailbreak-Geräten und das Durchführen einer Gerätebindung für den Soft Token-Bereitstellungsprozess implementiert werden.“

• Sec. 14.3.1 „Das FI sollte Echtzeit-Betrugsüberwachungs- oder -überwachungssysteme implementieren, um verdächtige oder betrügerische Online-Transaktionen zu identifizieren und zu blockieren.“

Datensicherheitsstandard der Zahlungskartenindustrie

PCI DSS 3.2 ist ein Informationssicherheitsstandard für Unternehmen, die Markenkreditkarten der wichtigsten Kartenmarken verarbeiten. Es wurde eingerichtet, um Sicherheitsbedrohungen für Zahlungsinformationen von Kunden zu begegnen. Alle an der Verarbeitung von Zahlungskarten beteiligten Stellen müssen PCI DSS einhalten, einschließlich Acquirer, Emittenten, Händler, Verarbeiter und Dienstleister. Dies gilt auch für alle anderen Entitäten, die Karteninhaberdaten speichern, verarbeiten oder übertragen.

Die Anforderung 8.3, die 2018 verbindlich wurde, verpflichtet die Organisationen zur Eingliederung Multi-Faktor-Authentifizierung für den gesamten Nicht-Konsolenzugriff auf die Datenumgebung des Karteninhabers sowie für den Remote-Netzwerkzugriff von außerhalb des Netzwerks der Entität.

Um sich an das sich ändernde Bedrohungsumfeld anzupassen und Cyberkriminellen einen Schritt voraus zu sein, SCHNELL (die Gesellschaft für weltweite Interbanken-Finanztelekommunikation) führte das SWIFT Security Controls Framework ein und Kundensicherheitsprogramm (CSP). Weitere Informationen darüber, wie SWIFT zur Gewährleistung der Sicherheit und Integrität der Systeme beiträgt, die eine Verbindung zum SWIFT-Netzwerk herstellen, finden Sie hier Blog . 

In den USA haben Bundes- und Landesgesetze elektronische Signaturen den gleichen rechtlichen Status wie handschriftliche Signaturen. Das Bundesgesetz über elektronische Signaturen im globalen und nationalen Handel (ESIGN) sieht die rechtliche Anerkennung elektronischer Signaturen und Aufzeichnungen vor, um die „schriftlichen“ gesetzlichen Anforderungen für Transaktionen, einschließlich Offenlegungen, zu erfüllen, und ermöglicht es Organisationen, die gesetzlichen Anforderungen zur Aufbewahrung von Aufzeichnungen ausschließlich durch die Verwendung von zu erfüllen elektronische Aufzeichnungen. ESIGN erfordert die Zustimmung einer Person, Geschäfte elektronisch abzuwickeln.

Auf Bundesstaatsebene haben 47 Bundesstaaten, der District of Columbia, Puerto Rico und die Jungferninseln das Uniform Electronic Transactions Act (UETA) verabschiedet. Darüber hinaus sieht das ESIGN-Bundesgesetz vor, dass elektronische Signaturen für den innerstaatlichen Handel und in den Staaten, die UETA nicht eingeführt haben, rechtlich durchsetzbar sind.

Am 20. Dezember 2018 wurde Das Gesetz über integrierte digitale Erlebnisse des 21. Jahrhunderts (IDEA des 21. Jahrhunderts) wurde in das Gesetz unterzeichnet. Es schafft Mindestfunktionen für Funktionalität und Sicherheit für Bundesbehörden in den USA mit dem Ziel, die digitalen Interaktionen zwischen Bürgern und Regierung zu verbessern. Beispielsweise müssen Agenturen digitale Versionen aller papierbasierten Dienste anbieten und elektronische Signaturen von Bürgern akzeptieren.

Erfahren Sie mehr in dieser Blog.
 

Die US-amerikanische FINRA-Regel 4512 (a) (3) (Kundenkontoinformationen) sah zuvor vor, dass Maklerfirmen vor Eröffnung des Kontos die „nasse“ Unterschrift jeder benannten natürlichen Person einholen müssen, die befugt ist, auf einem Konto Diskretion auszuüben. Am 16. April 2019 verabschiedete die US Security Exchange Commission (SEC) eine vorgeschlagene Änderung von Regel 4512 (a) (3), die den Mitgliedern die Möglichkeit gab, anstelle einer feuchten Unterschrift eine elektronische Signatur zu erhalten.

Erfahren Sie mehr darüber Blog .

Zahlreiche US-Bundesstaaten haben Gesetze verabschiedet oder erwägen diese, die es ihren staatlichen Notaren ermöglichen würden, Online-Notariatsnotizen durchzuführen. Darunter z. B.:  

• Indiana SB 372 (unterzeichnet am 13.03.18; wirksam am 01.07.19)
• Louisiana HCR 31 (eingeführt am 06.04.18; verabschiedet von Haus und Senat)
• Michigan H 5811 (unterzeichnet am 28.06.18; gültig ab 30.03.19)
• Minnesota SF 893 (unterzeichnet am 20.05.18; gültig ab 1.1.19)
• Nevada A. 413 (unterzeichnet am 09.06.17; gültig ab 01.07.18)
• Ohio SB 263 (unterzeichnet in Gesetz 12/18; gültig ab 19.9.19)
• North Dakota HB 1110 (unterzeichnet am 11.03.19)
• South Dakota HB 1272 (unterzeichnet am 18.03.19)
• Tennessee SB 1758 (unterzeichnet am 15.05.18; wirksam am 01.07.19)
• Texas HB 1217 (unterzeichnet am 01.06.17; gültig ab 01.07.18)
• Kentucky SB 114 (unterzeichnet am 25.03.19; gültig ab dem 1.1.20)

Ähnlich wie in den US-amerikanischen UETA-Gesetzen geben die kanadischen Gesetze zur elektronischen Signatur elektronischen Signaturen den gleichen rechtlichen Status wie handschriftliche Signaturen. 

In ganz Kanada wurden im Wesentlichen einheitliche Gesetze für den elektronischen Handel und die elektronische Signatur erlassen. Alle Provinzen und Territorien haben eigenständige Gesetze für den elektronischen Handel von allgemeiner Geltung, die auf den von den Vereinten Nationen erlassenen Modellgesetzen beruhen und die Uniform Law Conference of Canada (ULCC). 

In Ontario beispielsweise regelt der Electronic Commerce Act 2000 (ECA) die Verwendung elektronischer Dokumente bei Handelsgeschäften. In einem Bericht mit dem Titel Elektronische Signaturen im kanadischen Recht erklärt die führende kanadische Wirtschaftskanzlei Stikeman Elliott LLP: „Obwohl es einige Abweichungen gibt, sehen die E-Commerce-Gesetze der Provinz im Allgemeinen vor, dass Signaturen, Dokumente und Originale nicht nur aufgrund von ungültig oder nicht durchsetzbar sind in elektronischer Form sein. “

Um mehr zu erfahren, lesen Sie die Rechtsführer von Stikeman Elliott zu elektronischen Signaturen. 

Die Verordnung von 2014 über elektronische Identifizierungs- und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS) trat am 1. Juli 2016 in der gesamten Europäischen Union in Kraft und ersetzte die Richtlinie 1999/93 / EG über elektronische Signaturen. Im Gegensatz zur Richtlinie gilt die eIDAS-Verordnung für jeden EU-Mitgliedstaat gleichermaßen. 

eIDAS erleichtert die grenzüberschreitende Erkennung von elektronischen Signaturen und elektronischen Identitäten. Außerdem werden drei Ebenen der elektronischen Signatur identifiziert: die einfache, die erweiterte und die qualifizierte elektronische Signatur.

In diesem Whitepaper erfahren Sie mehr über die rechtliche Durchsetzbarkeit der drei Ebenen der elektronischen Signatur: eIDAS und E-Signatur: eine rechtliche Perspektive , geschrieben von Lorna Brazell von Osborne Clarke LLP.

In Brasilien fällt die Verwendung elektronischer Signaturen in zwei Kategorien:

• Technologieneutral: Das brasilianische Recht erlaubt eine elektronische Signatur in Anwendungsfällen, in denen die Art der Signatur nicht gesetzlich festgelegt ist. Bei diesem Ansatz muss die elektronische Signatur die Integrität des signierten Dokuments und die Echtheit der Urheberschaft der Signatur sicherstellen, das Gesetz legt jedoch die Technologie nicht fest. Die Formfreiheit im brasilianischen Recht leitet diesen technologieneutralen Ansatz ab.
• Technologiespezifisch: Bestimmte Arten von Dokumenten und Unterzeichnern erfordern die Verwendung eines digitalen Zertifikats, das dem Unterzeichner von der ICP-Brasil-Infrastruktur ausgestellt wurde. Dies ist ein technologie-spezifisches System, bei dem die ICP-Brasil-Zertifikate eine vertrauenswürdige Überprüfung der elektronischen Signatur durch Dritte ermöglichen. ICP-Brasil richtet die Infrastruktur für öffentliche Schlüssel für das Land ein, die die erforderlichen Zeitstempel und Richtlinien bereitstellt, um das Äquivalent einer qualifizierten elektronischen Signatur (QES) zu erstellen. 

Erfahren Sie mehr in diesem portugiesischen Whitepaper über Elektronische Signaturen und das Gesetz in Brasilien , geschrieben in Zusammenarbeit mit Opice Blum LLP. 

Das Gesetz 527 von 1999 legte elektronische Signaturen als Äquivalent zu handschriftlichen Signaturen fest. Es gibt elektronischen Signaturen die gleiche Gültigkeit und Rechtswirkung wie handschriftliche Signaturen, sofern die elektronische Signatur den in Dekret 2364 von 2012 festgelegten Zuverlässigkeitsanforderungen entspricht.

Erfahren Sie mehr in diesem spanischen Whitepaper über Elektronische Signaturen und das Gesetz in Kolumbien , geschrieben in Zusammenarbeit mit Erick Rincon Cardenas, einem Partner von Rincon Cardenas & Moreno.

Im Jahr 2000 genehmigte der Kongress der Republik Peru das Gesetz Nr. 27269 über digitale Signaturen und Zertifikate, das wie folgt lautet: „Der Zweck dieses Gesetzes besteht darin, die Verwendung elektronischer Signaturen zu regeln und ihnen die gleiche rechtliche Gültigkeit und Wirksamkeit zu gewähren als handschriftliche Unterschriften oder ähnliches, die eine Willenserklärung implizieren. “

Erfahren Sie mehr in diesem spanischen Whitepaper über Elektronische Signaturen und das Gesetz in Peru , geschrieben in Zusammenarbeit mit Erick Rincon Cardenas, einem Partner von Rincon Cardenas & Moreno.

1999 verabschiedete das australische Parlament das Gesetz über elektronische Transaktionen, das 2011 geändert wurde. Das Gesetz über elektronische Transaktionen verleiht elektronischen Signaturen den gleichen rechtlichen Status wie handschriftlichen Signaturen. 

Laut der australischen Regierung bedeutet "Wenn ein Commonwealth-Gesetz verlangt, dass Sie Informationen schriftlich vorlegen, eine handschriftliche Unterschrift vorlegen, ein Dokument in materieller Form vorlegen oder Informationen aufzeichnen oder aufbewahren, bedeutet das Gesetz über elektronische Transaktionen, dass Sie diese Dinge elektronisch erledigen können." 

Erfahren Sie mehr in unserem eBook, Elektronische Signaturen und das Gesetz: Global Legislation Review . 
 

Das seit 2001 geltende japanische Gesetz über elektronische Signaturen und Zertifizierungen erkennt die rechtliche Durchsetzbarkeit von zwei weltweit verwendeten Arten elektronischer Signaturen an: Advanced E-Signatures und Qualified E-Signatures.

Erfahren Sie mehr in unserem eBook, Elektronische Signaturen und das Gesetz: Global Legislation Review . 

Dieses 1998 eingeführte Gesetz bildet die rechtliche Grundlage für elektronische Signaturen und gibt elektronischen Verträgen Vorhersehbarkeit und Sicherheit. Die Regierung von Singapur erklärt: „In der elektronischen Welt können handgeschriebene Signaturen durch digitale Signaturen ersetzt werden. Wie schriftliche Unterschriften können digitale Unterschriften verwendet werden, um die Identität einer Partei festzustellen oder rechtliche Verpflichtungen einzugehen. Das Gesetz über elektronische Transaktionen sieht die Anerkennung digitaler Signaturen nach singapurischem Recht vor. “

Erfahren Sie mehr in unserem eBook, Elektronische Signaturen und das Gesetz: Global Legislation Review.