La nationalisation d'un règlement de New York pourrait combattre les violations de type Capital One

Michael Magrath, août 8, 2019
Capital One

En mars 2019, Capital One a subi une violation de données qui a révélé l'IPI de près de 106 millions de clients de la banque. Cette violation est un exemple classique de la «menace d'initié» qui a été présent depuis que le premier marchand a accroché un bardeau et vendu des marchandises, et n'est certainement pas limité à l'ère numérique.

La menace d'initié ne se limite pas aux employés et s'étend aux fournisseurs tiers comme ce fut le cas avec Capital One.

La menace des fournisseurs tiers est une préoccupation pour les OISC et les organismes de réglementation, c'est pourquoi les exigences de cybersécurité du Département des services financiers de l'État de New York pour les sociétés de services financiers (23 NYCRR 500) comprennent des exigences spécifiques en ce qui concerne fournisseurs de services tiers. En vertu de la réglementation, les banques et les fournisseurs de services financiers doivent sécuriser leurs propres systèmes et mettre en œuvre des programmes de gestion des risques par des tiers.

Coïncidence, l'applicabilité du règlement pour les fournisseurs de services tiers vient d'entrer en vigueur en mars de cette année. Selon le règlement, article 500.11, « L'organisation doit documenter les procédures et les politiques écrites pour s'assurer que les programmes de gestion des risques de tiers protègent les systèmes d'information et l'information non publique. »

En outre, les politiques et procédures relatives aux fournisseurs de services tiers sont tenues d'inclure des lignes directrices pertinentes pour la diligence raisonnable ainsi que des protections contractuelles, en ce qui concerne :

  • Contrôles d'accès, y compris l'authentification multifacteur 
  • Cryptage
  • Notifications à fournir à l'organisation principale en réponse à un événement de cybersécurité
  • Représentations et garanties pour les politiques et procédures de cybersécurité d'un tiers.

Frost & Sullivan 2019 : Récompense des bonnes pratique pour l'authentification en fonction du risque

Découvrez pourquoi Frost et Sullivan ont reconnu OneSpan avec le prix des meilleures pratiques 2019 pour la solution d'authentification adaptative intelligente de OneSpan, et comment protéger au mieux le parcours client numérique avec la bonne authentification au bon moment.

Télécharger

Comme expliqué sur Payments Source, la bonne nouvelle est que l'auteur a été identifié et arrêté, mais il reste à voir la sévérité des sanctions que Capital One encourra par les organismes de réglementation fédéraux et étatiques. Bien que Capital One est basé en Virginie, il est autorisé à mener des affaires à New York avec des succursales dans l'État, tombant ainsi sous la juridiction de la NYDFS.

La Federal Trade Commission des États-Unis a récemment proposé des modifications à la Règle sur les garanties et à la règle de confidentialité en vertu de la Gramm-Leach-Bliley Act, qui oblige les institutions financières à expliquer leurs pratiques d'échange d'informations à leurs clients et à protéger les données des clients.

La règle des garanties exige que les institutions financières mettent en place des mesures pour assurer la sécurité des renseignements sur les clients. Ils sont responsables de prendre des mesures pour s'assurer que leurs affiliés et fournisseurs de services protègent les informations des clients dont ils ont la charge.

La règle de confidentialité, telle qu'elle est expliquée sur Payments Source, exige qu'une institution financière informe ses clients de ses pratiques d'échange d'information et leur permette de ne pas partager leurs renseignements avec certains tiers. La proposition exigerait généralement que toutes les institutions financières chiffrent toutes les données des clients, mettent en œuvre des contrôles d'accès pour empêcher les utilisateurs non autorisés d'accéder aux informations des clients et utilisent l'authentification multifacteur pour accéder aux données des clients.

Les changements proposés, introduits en mars, sont calqués sur les règlements de cybersécurité de l'organisme de réglementation de New York, mais contrairement au règlement NYDFS, ils s'appliqueraient à toutes les institutions financières aux États-Unis.

Cet article a été publié à l'origine le PaymentsSource.com le 5 août 2019.

Michael Magrath est responsable de l'alignement de la feuille de route de la solution OneSpan avec les normes et les exigences réglementaires à l'échelle mondiale. Il est président du groupe de travail sur le déploiement gouvernemental de l'Alliance FIDO et siège au conseil d'administration de l