Conformité

Le NYDFS réglemente environ 1 500 banques et institutions financières. Il s'agit notamment des États-Unis. ainsi que de nombreuses institutions internationales ayant des activités à New York. 

Les exigences en matière de cybersécurité pour les sociétés de services financiers comprennent 22 dispositions qui exigent des organismes de services financiers qu'ils protègent mieux les données. Les institutions financières doivent mettre en œuvre des contrôles efficaces pour empêcher l'accès non autorisé aux systèmes d'information ou à l'information non publique par l'évaluation des risques, mais les moyens par lesquels elles le font peuvent inclure l'authentification multifacteur, l'authentification biométriqueou l'authentification fondée surle risque.

En savoir plus dans ce blog: NYDFS Cybersecurity Requirements for Financial Services Companies

La deuxième Directive des Services de Paiement de l'Union Européenne (DSP2) contient les exigences à propos de l'Authentification forte client. Les institutions financières avaient jusqu'en septembre 2019 pour se conformer. Toutefois, des fournisseurs de services de paiement spécifiques (PSP) pourraient bénéficier d'une extension exceptionnelle dans le cadre des paiements par carte pour le commerce électronique, selon un récent avis de l'ABE.

Ces exigences comprennent cinq critères de conformité :

• Authentification forte : L'authentification doit être fondée sur deux facteurs ou plus, y compris les mots de passe ou nip, les jetons ou les appareils mobiles, ou la biométrie.

• Analyse des risques de transaction : Mandate l'utilisation de l'analyse des risques de transaction pour dissuader les paiements frauduleux. 

• Protection de la réplication : PSD2 exige l'utilisation de contre-mesures de clonage d'applications mobiles dédiées dans les applications.

• Liaison dynamique : Pour les transactions de paiement, le code d'authentification doit être dynamiquement lié à la fois au montant et au payeur.

• Éléments indépendants : Les fournisseurs de services de paiement doivent adopter des mesures de sécurité pour atténuer le risque résultant d'un compromis sur les appareils mobiles.

Le nouveau cadre de certification de la cybersécurité de l'UE, initialement proposé en 2017, a été développé pour améliorer la cybersécurité des services en ligne et des appareils grand public, y compris les appareils IoT. Une fois officiellement approuvé par le Parlement européen, il sera publié au Journal officiel de l'UE et entrera officiellement en vigueur immédiatement. Pour plus d'informations, lisez le communiqué de presse officiel.

Afin d'améliorer la résilience face aux cybermenaces, l'Autorité monétaire saoudienne (SAMA) a introduit le Cadre de cybersécurité SAMA en mai 2017. Cela s'inscrit dans une tendance mondiale où les organismes de réglementation du gouvernement et du secteur bancaire du monde entier introduisent des normes et des orientations en matière de cybersécurité. 

Les quatre aspects clés du cadre sont les suivants :

• Identité et gestion de l'accès
• Canal de communication sécurisé pour les services bancaires en ligne et mobiles
• Protection des applications mobiles
• Détection et prévention des fraudes

En savoir plus dans ce blog: SAMA Cyber Security Framework Compliance

L'Autorité monétaire de Singapour (MAS) a publié des lignes directrices sur la gestion des risques technologiques (TRM) et la gestion de la continuité des activités (BCM).

Les Lignes directrices TRM fournissent une orientation pour la sécurité du développement de logiciels, la cybersurveillance, la simulation d'attaque contradictoire et la façon de gérer les cyberrisques posés par l'Internet des objets. La TRM comprend également une section sur la « sécurité des services financiers en ligne », qui couvre les éléments suivants :

• Sec.14.1.7 « Les appareils mobiles enracinés ou jailbreakés devraient être empêchés d'accéder aux applications mobiles de la FI pour effectuer des transactions financières, car ces appareils sont plus sensibles aux logiciels malveillants et aux failles de sécurité. »

• Sec. 14.2.1 « L'authentification multifacteur doit être déployée à la connexion pour les services financiers en ligne afin de sécuriser le processus d'authentification client. »

• Sec. 14.2.4 « LA FI peut appliquer une approche fondée sur le risque et mettre en œuvre une authentification appropriée fondée sur le risque ou adaptative qui offre aux clients des options d'authentification qui sont proportionnelles au niveau de risque de la transaction et à la sensibilité de l'information. » 

• Sec. 14.2.8 "Lorsque le jeton souple est utilisé pour l'authentification du client, des mesures appropriées, telles que la vérification de l'identité du client, la détection et le blocage d'appareils enracinés ou jailbreakés, et l'exécution de la fixation de l'appareil, doivent être mises en œuvre pour le jeton souple processus d'approvisionnement.

• Sec. 14.3.1 « L'IF devrait mettre en place des systèmes de surveillance ou de surveillance des fraudes en temps réel pour identifier et bloquer les transactions en ligne suspectes ou frauduleuses. »

Norme de sécurité des données de l'industrie des cartes de paiement

PCI DSS 3.2 est une norme de sécurité de l'information pour les organisations qui manipulent les cartes de crédit de marque des grandes marques de cartes. Il a été mis en place pour faire face aux menaces à la sécurité des informations de paiement des clients. Toutes les entités impliquées dans le traitement des cartes de paiement doivent se conformer au SSA PCI, y compris les acquéreurs, les émetteurs, les commerçants, les transformateurs et les fournisseurs de services. Elle s'applique également à toutes les autres entités qui stockent, traitent ou transmettent des données aux titulaires de carte.

L'exigence 8.3, qui est devenue obligatoire en 2018, oblige les organisations à intégrer l'authentification multifacteur pour tous les accès non-console à l'environnement de données des titulaires de carte, ainsi que l'accès réseau à distance provenant de l'extérieur du réseau de l'entité.

Pour s'adapter à l'évolution de l'environnement des menaces et garder une longueur d'avance sur les cybercriminels, SWIFT (Society for Worldwide Interbank Financial Telecommunication) a lancé le Cadre de contrôle de sécurité SWIFT et le programme de sécurité des clients (CSP). Pour plus d'informations sur la façon dont SWIFT contribue à assurer la sécurité et l'intégrité des systèmes qui se connectent au réseau SWIFT, consultez ce blog. 

Aux États-Unis, la loi fédérale et étatique confère aux signatures électroniques le même statut juridique que les signatures manuscrites. La Federal Electronic Signatures in Global and National Commerce Act (ESIGN) accorde une reconnaissance légale pour les signatures et les documents électroniques afin de satisfaire aux exigences légales « écrites » pour les transactions, y compris les divulgations, et de permettre aux organisations de respecter les exigences légales en matière de conservation des dossiers uniquement par l'utilisation de documents électroniques. ESIGN exige le consentement d'une personne pour faire des affaires par voie électronique.

Au niveau des États, quarante-sept États, le District de Columbia, Porto Rico et les îles Vierges ont adopté la Loi uniforme sur les transactions électroniques (UETA). En outre, la loi fédérale ESIGN prévoit que les signatures électroniques sont juridiquement exécutoires pour le commerce intra-étatique et dans les États qui n'ont pas adopté l'UETA.

Le 20 décembre 2018, la loi sur l'expérience numérique intégrée du 21e siècle (21e siècle IDEA) a été promulguée. Il crée un minimum de fonctionnalité et de normes de sécurité pour les agences fédérales aux États-Unis dans le but d'améliorer les interactions numériques entre les citoyens et le gouvernement. Par exemple, elle exige des agences qu'elles offrent des versions numériques de tous les services papier et acceptent les signatures électroniques des citoyens.

En savoir plus dans ce blog.
 

La règle 4512(a)(3) des États-Unis (Information sur les comptes clients) exigeait auparavant que les sociétés de courtage obtiennent la signature « humide » de chaque personne physique nommée autorisée à exercer son pouvoir discrétionnaire sur un compte avant d'ouvrir le compte. Le 16 avril 2019, la Commission des changes des États-Unis (SEC) a adopté une modification proposée à la règle 4512(a)(3) donnant aux membres la possibilité d'obtenir une signature électronique au lieu d'une signature humide.

En savoir plus dans ce blog.

De nombreux États des États-Unis ont adopté ou envisagent une législation qui habiliterait leurs notaires d'État à effectuer des notarisations en ligne à distance. Quelques exemples :  

• Indiana SB 372 (signé dans la loi 3/13/18; efficace 7/1/19)
• Louisiana HCR 31 (introduit 4/6/18; adopté Chambre et Sénat)
• Michigan H 5811 (signé dans la loi 6/28/18; effectif 3/30/19)
• Minnesota SF 893 (signé dans la loi 5/20/18; effectif 1/1/19)
• Nevada A. 413 (signé dans la loi 6/9/17; effectif 7/1/18)
• Ohio SB 263 (signé dans la loi 12/18; effective 9/19/19)
• Dakota du Nord HB 1110 (signé dans la loi 3/11/19)
• Dakota du Sud HB 1272 (signé dans la loi 3/18/19)
• Tennessee SB 1758 (signé dans la loi 5/15/18; efficace 7/1/19)
• Texas HB 1217 (signé dans la loi 6/1/17; efficace 7/1/18)
• Kentucky SB 114 (signé dans la loi, 25/03/19; effectif 1/1/20)

À l'instar des lois américaines sur la signature électronique, les lois provinciales canadiennes sur la signature électronique confèrent aux signatures électroniques le même statut juridique que les signatures manuscrites. 

Des lois sur le commerce électronique et les signatures électroniques ont été promulguées partout au Canada. Toutes les provinces et tous les territoires ont des lois autonomes sur le commerce électronique d'application générale fondées sur des lois modèles promulguées par l'ONU. et la Conférence canadienne sur le droit uniforme (CLL). 

Par exemple, en Ontario, la Loi de 2000 sur le commerce électronique (CEA) traite de l'utilisation de documents électroniques dans les transactions commerciales. Dans un rapport intitulé Electronic Signatures in Canadian Law, stikeman Elliott LLP, un cabinet d'avocats d'affaires canadien de premier plan, déclare : « Bien qu'il y ait certaines variantes, les lois provinciales sur le commerce électronique stipulent généralement que les signatures, les documents et les originaux sont pas invalide ou inapplicable pour la seule raison seulement d'être sous forme électronique.

Pour en savoir plus, lisez le guide juridique stikeman Elliott sur les signatures électroniques. 

Le règlement de 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques sur le marché intérieur (eIDAS) est entré en vigueur dans toute l'Union européenne le 1er juillet 2016, remplaçant la directive 1999/93/CE sur les signatures électroniques. Contrairement à la directive, le règlement eIDAS s'applique également à chaque État membre de l'UE. 

eIDAS facilite la reconnaissance transfrontalière des signatures et des identités électronique. Il identifie également trois niveaux de signature électronique : la signature électronique simple, avancée et qualifiée.

Découvrez l'application juridique des trois niveaux de signature électronique dans ce livre blanc : eIDAS et E-Signature: a Legal Perspective, écrit par Lorna Brazell d'Osborne Clarke LLP.

Au Brésil, l'utilisation des signatures électroniques se divise en deux catégories :

• Technologie neutre : la loi brésilienne autorise une signature électronique dans les cas d'utilisation où le type de signature n'est pas spécifié par la loi. Dans cette approche, la signature électronique doit assurer l'intégrité du document signé et l'authenticité de la paternité de la signature, mais la loi ne précise pas la technologie. La liberté de forme dans la loi brésilienne en déduit cette approche neutre sur le plan technologique.
• Spécificité technologique : Certains types de documents et de signataires nécessitent l'utilisation d'un certificat numérique délivré au signataire par l'infrastructure ICP-Brasil. Il s'agit d'un système spécifique à la technologie où les certificats ICP-Brasil fournissent une vérification de confiance par un tiers de la signature électronique. ICP-Brasil établit l'infrastructure de clé publique pour le pays, qui fournit l'horodatage nécessaire et des politiques pour créer l'équivalent d'une signature électronique qualifiée (QES). 

En savoir plus dans ce livre blanc portugais sur les signatures électroniques et la loi au Brésil, écrit en collaboration avec Opice Blum LLP. 

La loi 527 de 1999 a établi les signatures électroniques comme l'équivalent des signatures manuscrites. Il donne aux signatures électronique le même effet de validité et d'application juridique qu'une signature manuscrite, à condition que la signature électronique soit conforme aux exigences de fiabilité énoncées dans le décret 2364 de 2012.

Pour en savoirplus, en savoir plus, en savoir plus, en savoir plus, en savoir plus, en savoir plus, en collaboration avec Erick Rincon Cardenas, associé chez Rincon Cardenas et Moreno.

En 2000, le Congrès de la République du Pérou a approuvé la loi no 27269 sur les signatures et certificats numériques, qui se lit comme suit : « Le but de cette loi est de réglementer l'utilisation des signatures électronique, en leur accordant la même validité juridique et la même efficacité que la main signatures ou similaires qui impliquent une déclaration de volonté.

Pour en savoir plus, en savoir plus, en savoir plus, en savoir plus, en savoir plus, en savoir plus sur les signatures électroniques et la loi au Pérou,rédigéen en collaboration avec Erick Rincon Cardenas, associé chez Rincon Cardenas et Moreno.

En 1999, le Parlement australien a adopté la Loi sur les transactions électroniques, qui a été modifiée en 2011. La Loi sur les transactions électroniques confère aux signatures électroniques le même statut juridique que les signatures manuscrites. 

Selon le gouvernement australien, « si une loi du Commonwealth vous oblige à donner des informations par écrit, à fournir une signature manuscrite, à produire un document sous forme matérielle, ou à enregistrer ou conserver des informations, la Loi sur les transactions électroniques signifie que vous pouvez faire ces choses par voie électronique. 

Pour en savoir plus, consultez notre livre électronique, nos signatures électroniques et notre loi sur la législation mondiale. 
 

En vigueur depuis 2001, la Loi japonaise sur les signatures électroniques et les activités de certification reconnaît l'application juridique de deux types de signatures électroniques utilisées dans le monde entier : les signatures électroniques avancées et les signatures électroniques qualifiées.

Pour en savoir plus, consultez notre livre électronique, nos signatures électroniques et notre loi sur la législation mondiale. 

Mise en place en 1998, cette loi fournit le fondement juridique des signatures électroniques et donne prévisibilité et certitude aux contrats électroniques. Selon le gouvernement de Singapour, « dans le monde électronique, les signatures manuscrites peuvent être remplacées par des signatures numériques. Comme les signatures écrites, les signatures numériques peuvent être utilisées pour établir l'identité d'une partie ou pour prendre des engagements juridiques. La Loi sur les transactions électroniques prévoit la reconnaissance des signatures numériques en vertu de la loi de Singapour."

Pour en savoir plus, consultez notre livre électronique, Electronic Signatures and the Law: Global Legislation Review.