コンプライアンス

NYDFSは約1,500の銀行と金融機関を規制しています。これらには米国が含まれます 機関だけでなく、ニューヨークで活動している多くの国際機関。 

の金融サービス会社のサイバーセキュリティ要件データの保護を強化するために金融サービス組織に要求する22の規定で構成されています。金融機関は、リスク評価を通じて情報システムや非公開情報への不正アクセスを防止するための効果的な制御を実装する必要がありますが、そのための手段には多要素認証 、生体認証 、またはリスクベースの認証 。

このブログで詳細をご覧ください： 金融サービス会社のNYDFSサイバーセキュリティ要件

欧州連合のPayments Services Directive（欧州決済サービス指令、通称PSD2）には、Strong Customer Authentication（確実な本人認証、通称SCA）に関連する要件が含まれています。金融機関は2019年9月までにこれらの要件に適合する必要があります。ただし、特定の決済サービスプロバイダー（PSP）は、eコマースのカード決済に関連して、次のような例外的な延長を受けることができます。最近のEBAの意見 。

これらの要件には、5つのコンプライアンス基準が含まれます。

• 強力な認証： 認証は、パスワードまたはPIN、トークンまたはモバイルデバイス、生体認証など、2つ以上の要素に基づく必要があります。

• トランザクションリスク分析： 取引リスク分析を使用して不正な支払いを阻止することを義務付けます。 

• レプリケーション保護： PSD2は、アプリケーションでの専用モバイルアプリの複製対策の使用を義務付けています。

• 動的リンク： 支払い取引の場合、認証コードは金額と受取人の両方に動的にリンクする必要があります。

• 独立した要素： 決済サービスプロバイダーは、セキュリティ対策を講じて、侵害されたモバイルデバイスに起因するリスクを軽減する必要があります。

2017年に最初に提案された新しいEUサイバーセキュリティ認証フレームワークは、オンラインサービスとIoTデバイスを含むコンシューマデバイスのサイバーセキュリティを改善するために開発されました。欧州議会により正式に承認されると、EU公式ジャーナルに掲載され、直ちに正式に発効します。詳細については、公式プレスリリース。

サイバー脅威に対する耐性を向上させるために、サウジアラビア通貨庁（SAMA）は、 SAMAサイバーセキュリティフレームワーク 2017年5月。これは、世界中の政府および銀行業界の規制当局がサイバーセキュリティの基準とガイダンスを導入しているという世界的な傾向に従っています。 

フレームワークの4つの主要な側面は次のとおりです。

• アイデンティティとアクセス管理
• オンラインおよびモバイルバンキングのための安全な通信チャネル
• モバイルアプリケーションのシールド
• 不正の検出と防止

このブログで詳細をご覧ください： SAMAサイバーセキュリティフレームワークのコンプライアンス

シンガポール金融庁（MAS）は、Technology Risk Management（TRM）ガイドラインとBusiness Continuity Management（BCM）ガイドラインを発行しました。

TRMガイドラインは、ソフトウェア開発のセキュリティ、サイバー監視、敵対的な攻撃のシミュレーション、およびモノのインターネットによってもたらされるサイバーリスクを管理する方法について説明しています。TRMには、「オンライン金融サービスのセキュリティ」に関するセクションも含まれています。

• Sec.14.1.7「ルート化された、またはジェイルブレイクされたモバイルデバイスは、マルウェアやセキュリティの脆弱性の影響を受けやすいため、金融取引を実行するためにFIのモバイルアプリケーションにアクセスできないようにする必要があります。」

• Sec。14.2.1「オンラインの金融サービスでは、顧客認証プロセスを保護するために、ログイン時に多要素認証を導入する必要があります。」

• Sec。14.2.4「FIはリスクベースのアプローチを適用し、トランザクションのリスクレベルと情報の機密性に見合った認証オプションを顧客に提示する適切なリスクベースまたは適応認証を実装する場合があります。」 

• Sec。14.2.8「お客様の認証にソフトトークンが使用される場合、お客様のIDの確認、ルート化されたデバイスまたはジェイルブレイクされたデバイスの検出とブロック、デバイスバインディングの実行などの適切な手段を、ソフトトークンのプロビジョニングプロセスに実装する必要があります。」

• Sec。14.3.1「FIは、疑わしいまたは詐欺的なオンライントランザクションを識別してブロックするために、リアルタイムの不正監視または監視システムを実装する必要があります。」

ペイメントカード業界のデータセキュリティ基準

PCI DSS 3.2は、主要なカードブランドのブランドクレジットカードを扱う組織向けの情報セキュリティ標準です。これは、顧客の支払い情報に対するセキュリティの脅威に対処するために導入されました。支払いカードの処理に関与するすべてのエンティティは、取得者、発行者、販売者、処理者、サービスプロバイダーを含むPCI DSSに準拠する必要があります。また、カード会員データを保存、処理、または送信する他のすべてのエンティティにも適用されます。

2018年に必須となった要件8.3は、組織に多要素認証カード会員データ環境へのすべての非コンソールアクセス、およびエンティティのネットワークの外部から発生するリモートネットワークアクセス。

変化する脅威環境に適応し、サイバー犯罪者の先を行くには、迅速 （Worldwide Interbank Financial Telecommunications）は、SWIFT Security Controls Frameworkを導入し、カスタマーセキュリティプログラム （CSP）。SWIFTがどのようにしてSWIFTネットワークに接続するシステムのセキュリティと整合性を確保するかについての詳細は、こちらを参照してください。ブログ 。 

米国では、連邦法および州法により、電子署名に手書きの署名と同じ法的地位が与えられています。グローバルおよびナショナルコマース法の連邦電子署名法（ESIGN）は、電子署名と記録を法的に承認し、開示を含むトランザクションの「書面による」法的要件を満たし、組織が法的記録の保持要件を満たすことを許可します。電子記録。ESIGNは、ビジネスを電子的に行うために個人の同意を必要とします。

州レベルでは、47の州、コロンビア特別区、プエルトリコ、およびバージン諸島が統一電子取引法（UETA）を採用しています。さらに、連邦のESIGN法では、電子署名は州内の商取引およびUETAを採用していない州内で法的に執行可能であると規定されています。

2018年12月20日、 21世紀統合デジタル体験法（21世紀IDEA） 法律に署名した。市民と政府間のデジタルインタラクションを改善することを目的として、米国の連邦政府機関向けに最小限の機能とセキュリティ標準を作成します。たとえば、すべての紙ベースのサービスのデジタルバージョンを提供し、市民からの電子署名を受け入れることが代理店に必要です。

詳細はこのブログ。
 

US FINRAルール4512（a）（3）（顧客アカウント情報）は、以前は証券会社に、アカウントを開く前にアカウントで裁量権を行使する権限を与えられた名前付きの自然人それぞれの「濡れた」署名を取得することを要求していました。2019年4月16日、US Security Exchange Commission（SEC）は、規則4512（a）（3）への変更案を可決し、メンバーにウェット署名の代わりに電子署名を取得するオプションを提供しました。

詳細はこちらブログ 。

米国の多くの州が、リモートのオンライン公証を実行するために州の公証人に権限を与える法律を通過させたか、または検討しています。次のような不正詐欺が含まれます。 

• インディアナSB 372 （法律に署名3/13/18;発効7/1/19）
• ルイジアナHCR 31 （18年6月6日導入、上院および上院通過）
• ミシガンH 5811 （法律に署名6/28/18;有効3/30/19）
• ミネソタSF 893 （法律5/20/18に署名、1/1/19発効）
• ネバダA.413 （法律に署名6/9/17;発効7/1/18）
• オハイオSB 263 （法律12/18に署名、19/19/19発効）
• ノースダコタHB 1110 （19/3/11に署名）
• サウスダコタHB 1272 （19/3/18に署名）
• テネシーSB 1758 （法律に署名5/15/18;発効7/1/19）
• テキサスHB 1217 （法律に署名6/1/17;発効7/1/18）
• ケンタッキーSB 114 （19年3月25日、法律に署名、20年1月1日発効）

米国UETAの法律と同様に、カナダの州の電子署名法では、手書きの署名と同じ法的ステータスを電子署名に付与しています。 

カナダ全体で実質的に統一された電子商取引および電子署名法が制定されました。すべての州と準州には、国連によって公布されたモデル法に基づく一般的な適用の独立型電子商取引法があります。カナダ統一法会議（ULCC）。 

たとえば、オンタリオ州の電子商取引法（2000）（ECA）は、商取引における電子文書の使用に対処しています。カナダの法律の主要な法律事務所であるStikeman Elliott LLPは、カナダの法律におけるElectronic Signaturesというタイトルのレポートで次のように述べています。電子形式である。」

詳細については、 Stikeman Elliottリーガルガイド電子署名に。 

国内市場における電子取引のための電子識別および信頼サービスに関する2014年の規制（eIDAS）は、電子署名に関する指令1999/93 / ECに代わり、2016年7月1日に欧州連合全体で施行されました。指令とは異なり、eIDAS規制は各EU加盟国に等しく適用されます。 

eIDASは、電子署名と電子IDのクロスボーダー認識を容易にします。また、電子署名の3つのレベル、Simple、Advanced、Qualified E-Signatureも識別します。

このホワイトペーパーでは、3レベルの電子署名の法的強制力について説明します。 eIDASと電子署名：法的観点 、Osborne Clarke LLPのLorna Brazellによって書かれました。

ブラジルでは、電子署名の使用は2つのカテゴリに分類されます。

• テクノロジーニュートラル：ブラジルの法律では、署名の種類が法律で指定されていないユースケースで電子署名を許可しています。このアプローチでは、電子署名により、署名されたドキュメントの完全性と署名の作成者の信頼性を確保する必要がありますが、法律ではテクノロジーを指定していません。ブラジルの法律における形式の自由は、このテクノロジーに中立なアプローチを推論します。
• テクノロジー固有：特定のタイプのドキュメントと署名者は、ICP-Brasilインフラストラクチャによって署名者に発行されたデジタル証明書の使用を必要とします。これは、ICP-Brasil証明書が電子署名の信頼できるサードパーティ検証を提供するテクノロジー固有のシステムです。 ICP-Brasilは、国の公開鍵インフラストラクチャを確立します。これは、適格電子署名（QES）に相当するものを作成するために必要なタイムスタンプとポリシーを提供します。 

このポルトガル語のホワイトペーパーで詳細をご覧ください電子署名とブラジルの法律 、Opice Blum LLPとの共同執筆。 

1999年の法律527は、手書きの署名に相当するものとして電子署名を確立しました。これは、電子署名が2012年の法令2364に記載されている信頼性要件に準拠している場合、手書きの署名と同じ有効性と法的効力を電子署名に与えます。

このスペイン語のホワイトペーパーで詳細をご覧ください電子署名とコロンビアの法律 、Rincon Cardenas＆MorenoのパートナーであるErick Rincon Cardenasとの共同執筆。

2000年、ペルー共和国議会は、デジタル署名と証明書に関する法律No. 27269を承認しました。この法律の目的は次のとおりです。意志の表明を意味する手書きの署名または同様のものとして。」

このスペイン語のホワイトペーパーで詳細をご覧ください電子署名とペルーの法律 、Rincon Cardenas＆MorenoのパートナーであるErick Rincon Cardenasとの共同執筆。

1999年、オーストラリア議会は、2011年に改正された電子商取引法を可決しました。電子取引法は、電子署名に手書きの署名と同じ法的地位を与えます。 

オーストラリア政府によると、「連邦法により、書面による情報の提供、手書きの署名の提供、重要な形式の文書の作成、または情報の記録または保持が義務付けられている場合、電子取引法により、これらのことを電子的に行うことができます。」 

私たちの電子ブックで詳細をご覧ください、電子署名と法律：グローバルな法律のレビュー 。 
 

2001年以降、日本の電子署名および認証事業法は、世界中で使用されている2種類の電子署名の法的強制力を認めています。高度な電子署名と認定電子署名です。

私たちの電子ブックで詳細をご覧ください、電子署名と法律：グローバルな法律のレビュー 。 

1998年に制定されたこの法律は、電子署名の法的基盤を提供し、電子契約に予測可能性と確実性を与えます。シンガポール政府によると、「電子の世界では、手書きの署名をデジタル署名に置き換えることができます。書面による署名と同様に、デジタル署名は、当事者の身元を確認するため、または法的義務を果たすために使用される場合があります。電子取引法は、シンガポール法に基づくデジタル署名の承認を規定しています。」

私たちの電子ブックで詳細をご覧ください、電子署名と法律：グローバルな法律のレビュー。