Pada Mei 2017, Departemen Layanan Keuangan Negara Bagian New York (NYDFS) merilis 23 NYCRR Part 500, aturan keamanan siber baru. Peraturan ini sekarang berlaku penuh, tetapi apa sebenarnya mungkin tidak jelas.

Sejak diumumkan, kumpulan persyaratan ini telah mengalami beberapa perubahan, dan bahasa hukumnya mungkin tidak jelas. Apa peraturan keamanan siber NYDFS, dan bagaimana dampaknya bagi Anda? Mari kita lihat lebih dekat.

Apa itu Peraturan Keamanan Siber NYDFS?

Daftar peraturan keamanan siber NYDFS persyaratan keamanan untuk layanan keuangan di New York. Seperti Peraturan Perlindungan Data Umum Eropa (GDPR), aturan ini bertujuan untuk melindungi data warga negara dengan memegang perusahaan dengan standar tertentu. Dalam hal ini, standar ini sebagian besar berasal dari Kerangka Kerja Keamanan Siber NIST.

Di bawah peraturan ini, perusahaan keuangan New York harus:

  • Tinjau keamanan dan privasi data sistem TI mereka secara berkala.
  • Rekam peristiwa keamanan siber dan simpan catatan ini selama lima tahun.
    • instagram viewer
  • Memiliki kebijakan dan prosedur untuk menghapus informasi pribadi yang tidak lagi mereka perlukan dengan aman.
  • Batasi akses ke Informasi Identifikasi Pribadi (PII) dan tinjau hak istimewa ini secara teratur.
  • Miliki rencana tertulis yang terperinci tentang menemukan, menanggapi, dan memulihkan dari insiden keamanan siber.
  • Beri tahu NYDFS dalam waktu 72 jam setelah peristiwa keamanan siber.

Tidak seperti beberapa undang-undang serupa, peraturan keamanan siber NYDFS mencakup arahan terperinci tentang apa yang harus terdiri dari rencana keamanan dan pelaporan ini. Ini juga mengharuskan perusahaan untuk memastikan pihak ketiga mereka aman, bukan hanya operasi internal mereka.

Persyaratan ini menjadikan peraturan ini salah satu yang terluas dan paling ketat dari negara bagian mana pun. Bisnis yang melanggarnya dapat menghadapi denda yang besar, tetapi tingkat penuh hukumannya masih belum jelas.

Kepada Siapa Peraturan Keamanan Siber NYDFS Berlaku?

Peraturan keamanan siber NYDFS berlaku untuk setiap orang atau entitas yang membutuhkan lisensi dari NYDFS. Itu mencakup perusahaan keuangan dan asuransi di New York, termasuk:

  • Bank.
  • serikat kredit.
  • Perusahaan investasi.
  • Pemberi pinjaman berlisensi.
  • Pialang hipotek.
  • Penyedia asuransi.
  • Asosiasi simpan pinjam.

Entitas yang tercakup ini mencakup bisnis lokal dan perusahaan asing yang memiliki izin untuk bekerja di New York. Misalnya, meskipun Deutsche Bank adalah perusahaan Jerman, ia harus mematuhi 23 NYCRR Part 500 sejak itu beroperasi di New York City.

Ada beberapa pengecualian untuk daftar ini. Perusahaan dengan kurang dari 10 karyawan, pendapatan tahunan kurang dari $5 juta dari New York dalam tiga tahun terakhir, atau total aset akhir tahun kurang dari $10 juta dikecualikan. Begitu juga bisnis yang tidak menyimpan atau memproses informasi pribadi, tetapi tidak mungkin bagi perusahaan jasa keuangan.

Apa Arti Peraturan Keamanan Siber bagi Anda?

Jika Anda tinggal atau bank di negara bagian New York, institusi Anda mungkin berada di bawah peraturan ini. Bahkan jika tidak, peraturan keamanan siber NYDFS masih dapat berlaku untuk bank Anda. Jika memiliki cabang yang beroperasi di negara bagian dan memenuhi persyaratan keuangan, ia harus mematuhinya.

Sebagai pelanggan bank, Anda tidak perlu mengambil langkah apa pun berdasarkan persyaratan ini. Anda mungkin melihat beberapa perubahan dalam cara lembaga keuangan atau perusahaan asuransi Anda beroperasi. Anda mungkin harus menggunakan langkah keamanan tambahan seperti otentikasi multifaktor (MFA) atau menyesuaikan izin Anda sebagai perusahaan ini meningkatkan langkah-langkah keamanan siber mereka.

Kerangka Kerja Keamanan Siber NIST, yang mengilhami aturan ini, termasuk berbagi informasi tepat waktu, yang mungkin memengaruhi Anda. Jika ada insiden di bank atau perusahaan asuransi Anda, mereka mungkin harus memberi tahu Anda. Anda mungkin tidak perlu melakukan apa pun sebagai tanggapan, tetapi Anda dapat mengharapkan untuk menerima jenis pesan ini.

Bahkan jika Anda tidak memiliki kewajiban hukum apa pun berdasarkan 23 NYCRR Bagian 500, sebaiknya berhati-hatilah dengan informasi keuangan Anda. Selalu gunakan kata sandi yang unik dan kuat, aktifkan MFA jika memungkinkan, dan jangan pernah memberikan PII ke sumber yang tidak dikenal. Ketatnya peraturan ini menyoroti betapa pentingnya masalah ini, jadi berhati-hatilah.

Pemerintah Mengambil Keamanan Siber Lebih Serius

Peraturan keamanan siber NYDFS adalah salah satu dari banyak contoh terbaru dari pemerintah daerah yang mengeluarkan undang-undang keamanan siber. Ketika alat digital menjadi semakin umum dalam kehidupan sehari-hari, aturan ini hanya akan tumbuh.

Konsumen dan bisnis sama-sama harus tetap mengetahui peraturan ini untuk memastikan kepatuhannya. Perubahan ini mungkin tampak menyulitkan pada awalnya, tetapi itu adalah langkah penting menuju keamanan yang lebih baik.

Bagaimana Pemerintah Memata-matai Anda Dengan Data yang Dikumpulkan

Akun media sosial dan ponsel cerdas Anda mengumpulkan data tentang Anda, dan informasi itu dapat digunakan oleh lembaga pemerintah. Inilah caranya dan mengapa.

Baca Selanjutnya

MembagikanMenciakSurel
Topik-topik yang berkaitan
  • Keamanan
  • Keamanan cyber
  • Privasi Daring
  • Keamanan data
Tentang Penulis
Shannon Flynn (34 Artikel Diterbitkan)

Shannon adalah pembuat konten yang berlokasi di Philly, PA. Dia telah menulis di bidang teknologi selama sekitar 5 tahun setelah lulus dengan gelar di bidang IT. Shannon adalah Managing Editor Majalah ReHack dan membahas topik-topik seperti keamanan siber, game, dan teknologi bisnis.

More From Shannon Flynn

Berlangganan newsletter kami

Bergabunglah dengan buletin kami untuk kiat teknologi, ulasan, ebook gratis, dan penawaran eksklusif!

Klik di sini untuk berlangganan