OneSpan Blog

Requisitos de segurança cibernética do NYDFS para empresas de serviços financeiros: a fase 4 começa agora

Cibersegurança e autenticação forte
Michael Magrath, 1 de Março de 2019

o Departamento de Serviços Financeiros do Estado de Nova York (NYDFS) regula aproximadamente 1.500 instituições financeiras e bancos, além de mais de 1.400 companhias de seguros. Com Nova York como a “capital financeira do mundo”, a grande maioria das instituições financeiras nos EUA se enquadram no regulamento NYDFS. Além disso, muitas organizações internacionais têm operações em Nova York e, portanto, também se enquadram na regulamentação do NYDFS. Todos esses bancos e empresas de serviços financeiros devem proteger seus ativos e contas de clientes contra ataques cibernéticos, em conformidade com o NYDFS Requisitos de segurança cibernética para empresas de serviços financeiros (23 NYCRR 500). De acordo com o regulamento, os bancos e os prestadores de serviços financeiros devem proteger seus próprios sistemas e implementar programas de gerenciamento de riscos de terceiros.

Em resposta aos ciberataques generalizados nos EUA instituições financeiras, o NYDFS promulgou o regulamento de segurança cibernética em 1 de março de 2017. O regulamento exige que as instituições financeiras implementem políticas e procedimentos específicos para proteger melhor os dados do usuário. Dada a lista abrangente de disposições do regulamento, o NYDFS forneceu um período transitório de dois anos para conformidade em quatro fases.

As instituições financeiras também são obrigadas a enviar uma Certificação de conformidade com os regulamentos a cada ano. A segunda Certificação anual de conformidade é para o ano civil de 2018. O prazo era 15 de fevereiro de 2019, que abrange a conformidade com as fases 1 a 3 abaixo.

Quatro fases dos requisitos de segurança cibernética do NYDFS para empresas de serviços financeiros

Fase 1 (a partir de 1º de setembro de 2017)

  • Seção 500.02 - Desenvolva e mantenha um programa de segurança cibernética
  • Seção 500.03 - Implementar e manter políticas escritas de segurança cibernética
  • Seção 500.04 - Designe um diretor de segurança da informação (CISO) para aplicar as políticas de segurança cibernética da organização e supervisionar a implementação do programa de segurança cibernética
  • Seção 500.07 - Limitar privilégios de acesso do usuário
  • Seção 500.10 - Pessoal e inteligência em segurança cibernética: garantir o treinamento e o conhecimento das ameaças e contramedidas cibernéticas atuais
  • Seção 500.16 - Produza um plano de resposta a incidentes por escrito
  • Seção 500.17 - Dentro de 72 horas após um evento de segurança cibernética, as notificações devem ser enviadas ao Superintendente

Fase 2 (a partir de 1 de março de 2018)

  • Seção 500.04 (b) - O CISO deve informar sobre os riscos materiais de segurança cibernética e o programa de segurança cibernética como um todo para a gerência executiva ou o conselho de administração da organização
  • Seção 500.05 - Implementar testes anuais de penetração e avaliações de vulnerabilidade semestrais
  • Seção 500.09 - Realize uma avaliação de risco periódica
  • Seção 500.12 - Autenticação multifatorial (MFA)
    • Com base na avaliação de riscos, cada organização deve usar controles eficazes, que podem incluir autenticação baseada em risco ou autenticação multifator, em um esforço para proteger informações ou sistemas de informações não públicos contra acesso não autorizado
    • O MFA deve ser usado para qualquer pessoa que acesse as redes internas da organização a partir de uma rede externa (a única exceção é se o CISO da organização tiver aprovado por escrito o uso de controles de acesso equivalentes ou mais seguros)
  • Seção 500.14 (b) - Ofereça treinamento de conscientização sobre segurança cibernética para todo o pessoal
Missing item de mídia.

Fase 3 (a partir de 1º de setembro de 2018)

  • Seção 500.06 - As trilhas de auditoria devem ser implementadas para detectar e responder a eventos de cibersegurança, e a organização deve manter registros de transações por não menos de cinco anos e registros de eventos de cibersegurança por não menos de três anos
  • Seção 500.08 - Segurança de aplicativos: O programa de segurança cibernética da organização deve conter padrões, procedimentos e diretrizes documentados que visam garantir o uso de práticas de desenvolvimento seguras para aplicativos e procedimentos internos para avaliar a segurança de aplicativos desenvolvidos por terceiros
  • Seção 500.13 - Implementar limitações na retenção de dados
  • Seção 500.14 (a) - A organização deve desenvolver procedimentos, políticas e controles baseados em risco, em um esforço para monitorar a atividade do usuário autorizado e identificar o acesso não autorizado a informações não públicas
  • Seção 500.15 - Garantir a criptografia de informações não públicas

Fase 4 (em vigor a partir de 1º de março de 2019): o fim do período de transição de dois anos

De acordo com o regulamento, seção 500.11, sobre a política de segurança para provedores de serviços terceirizados, "a organização deve documentar procedimentos e políticas escritas para garantir que programas de gerenciamento de riscos de terceiros protejam os sistemas de informação e informações não públicas".

As principais disposições dessas políticas são aplicáveis aos sistemas da própria instituição financeira, incluindo:

  • Políticas e procedimentos escritos projetados para proteger os usuários contra riscos impostos por provedores de serviços terceirizados
  • A identificação e avaliação de riscos de terceiros prestadores de serviços
  • Práticas mínimas de segurança cibernética exigidas de terceiros
  • A avaliação de práticas de cibersegurança de terceiros por meio de due diligence
  • Avaliações periódicas baseadas em risco

Além disso, é necessário que as políticas e procedimentos referentes a provedores de serviços terceirizados incluam diretrizes relevantes para a devida diligência, bem como proteções contratuais, abordando:

  • Controles de acesso, incluindo autenticação multifatorial
  • Criptografia
  • Notificações a serem fornecidas à organização principal em resposta a um evento de segurança cibernética
  • Representações e garantias para políticas e procedimentos de segurança cibernética de terceiros

Implementando a Fase 4 dos Requisitos de segurança cibernética do NYDFS para empresas de serviços financeiros

Embora a Fase 4 deva ser implementada este ano, é importante salientar que os bancos e instituições financeiras não são obrigados a certificar sua conformidade com as disposições de gerenciamento de risco de provedores de serviços terceirizados do regulamento até 15 de fevereiro de 2020.

Como cliente de várias instituições financeiras de Nova York, me sinto muito melhor sabendo que as informações da minha conta estão sendo protegidas com essa regulamentação robusta. Os requisitos de segurança cibernética do NYDFS para empresas de serviços financeiros ajudarão a proteger os dados do usuário contra ataques maliciosos.

MFA nydfs
Michael Magrath
Michael Magrath

Michael Magrath é responsável por alinhar o roteiro de solução da OneSpan com padrões e requisitos regulatórios em todo o mundo. Ele é copresidente do Grupo de Trabalho de Implantação do Governo da FIDO Alliance e faz parte do Conselho de Diretores da Associação de Assinatura Eletrônica e Registros (ESRA).

Ir para o topo