Título 23 NYCRR parte 500
Información general del Título 23 NYCRR parte 500
En respuesta a las serias y crecientes amenazas contra la ciberseguridad de los sistemas de información y finanzas, en el 2017, el Departamento de Servicios Financieros de Nueva York ha impuesto un nuevo conjunto de requisitos de ciberseguridad para las instituciones financieras que tienen licencia o están autorizados para hacer negocios en el estado. El reglamento —Título 23 códigos, reglas y reglamentos de Nueva York, Parte 500: Requisitos de ciberseguridad para empresas de servicios financieros— está diseñado para proteger los datos de los clientes y los sistemas de tecnologías de información de las instituciones financieras: bancos autorizados, privados e internacionales, corredores y empresas de seguros.
Microsoft y Título 23 NYCRR parte 500
Microsoft proporciona una guía completa, Servicios en la nube de Microsoft: soporte técnico con los requisitos de ciberseguridad NYDFS, para servicios financieros regulados bajo el Título 23 NYCRR parte 500. Esta explica en profundidad cómo Azure, Office 365 y los servicios en la nube de Power BI apoyan en el cumplimiento de los requisitos. Las instituciones financieras que buscan operar en el centro financiero global de Nueva York deben cumplirlos, motivo por el cual son críticos para numerosas instituciones.
Las normativas de Nueva York requieren que cada entidad financiera:
- Desarrolle y mantenga un programa de ciberseguridad robusto que comience por evaluar el perfil de riesgo específico de la institución y, a continuación, diseñe un programa que los direccione. Consulte Microsoft Cloud Financial Services para obtener información sobre cómo interactuar con Microsoft Cloud for Financial Services. Además, la página Servicios financieros de nuestro Portal de confianza de servicios contiene recursos específicos del país para ayudarle a comprender mejor cómo cumplir sus requisitos normativos globales.
- Implemente una directiva de ciberseguridad completa que se ocupe de la seguridad de la información, la clasificación y el gobierno de datos, los controles de acceso, la continuidad empresarial y otros aspectos similares. Microsoft ofrece una guía para desarrollar esta directiva con información detallada sobre nuestras certificaciones y evaluaciones de riesgos; mediciones de recuperación ante desastres y continuidad empresarial; y diagnósticos para el registro y la auditoría.
- Designe a un Director de seguridad de la información (CISO) para administrar el programa de ciberseguridad y aplicar la directiva. Para ayudar a ciso, Microsoft proporciona información detallada sobre ciberseguridad sobre las implementaciones en la nube de Microsoft a través de Microsoft Defender for Cloud, Office 365 Advanced Threat Analytics y Power BI Security.
- Supervise y pruebe la efectividad de su programa de ciberseguridad: Microsoft proporciona información de las auditorías en sus prácticas de ciberseguridad, las cuales incluyen supervisión continua, pruebas de infiltración periódicas y evaluación de vulnerabilidades. Los clientes pueden llevar a cabo sus propias pruebas sin permiso previo de Microsoft.
- Mantenga una traza de auditoría. Las funciones de auditoría integradas de los clientes de Azure, Office 365 y de Power BI generan información que se puede usar para reconstruir transacciones financieras y desarrollar información de la traza de auditoría.
- Limite el acceso a sistemas de información que contengan información no pública: medidas que Azure, Office 365 y Power BI ofrecen para un control de acceso basado en roles (RBAC) nativo de cada servicio, estrictos requisitos de seguridad y acceso para todos los administradores de Microsoft y auditorías de todas las solicitudes de acceso con privilegios elevados.
- Establezca procedimientos para evaluar y probar la seguridad de las aplicaciones desarrolladas de forma externa: para desarrolladores que usan Visual Studio, las Reglas de seguridad para el código administrado pueden ayudar a garantizar que las amenazas de ciberseguridad de la aplicación se detecten y mitiguen antes de implementar el código.
- Use evaluaciones de riesgos periódicas para diseñar y mejorar los programas de ciberseguridad: para los clientes, Microsoft agrega información acerca de las amenazas de seguridad, proporciona guías básicas de administración de cambios y actualiza la información de los subcontratistas periódicamente. Microsoft también realiza de forma periódica evaluaciones de riesgos de sus propios servicios cuyos resultados están disponibles para los clientes.
- Utilice personal calificado para administrar los riesgos de ciberseguridad y supervisar las funciones de ciberseguridad: Microsoft emplea procedimientos estrictos para el acceso de nuestros empleados a los datos de sus clientes. Si contratamos a los subcontratistas, nos hacemos responsables por la prestación del servicio y garantizamos que los subcontratistas cumplan todos los compromisos de privacidad y seguridad de Microsoft, incluidos los requisitos para administrar datos confidenciales, revisión de antecedentes y acuerdos de confidencialidad.
- Implemente directivas y procedimientos para garantizar la seguridad de la información que mantienen los proveedores de servicios externos: Azure, Office 365 y Power BI hacen que la autenticación multifactor esté disponible para todas las conexiones entrantes a las redes de la empresa; implementan controles, incluido el cifrado, para proteger la información no pública durante el tránsito en redes externas y en reposo; finalmente ofrecen los Términos de servicios en línea de Microsoft que permiten a los clientes recibir notificaciones, investigar incidencias y mitigar el riesgo de incidentes de seguridad.
- Implemente directivas y procedimientos de retención y eliminación de datos: puede obtener acceso a los datos de los clientes y extraerlos en Azure, Office 365 y Power BI en cualquier momento.
- Supervise la actividad de usuarios autorizados, detecte el acceso no autorizado y ofrezca un entrenamiento en ciberseguridad periódico a los empleados: Azure, Office 365 y Power BI incluyen la supervisión de interacción indirecta para emitir alertas sobre incidencias y diagnósticos extensivos para el registro y la auditoría. Microsoft Virtual Academy ofrece formación en línea que cubre la ciberseguridad de los servicios en la nube de Microsoft.
- Desarrolle planes para responder a incidentes de ciberseguridad y recuperarse de ellos: Microsoft le ayuda a prepararse para los incidentes de ciberseguridad mediante una estrategia defensiva para detectar, predecir y evitar las infracciones de seguridad antes de que se produzcan. Cuando desarrolle sus propios planes, puede recurrir a nuestro plan de administración de incidentes para reaccionar ante infracciones de ciberseguridad.
Servicios y plataformas en la nube dentro de Microsoft
- Azure
- Intune
- Office 365
Office 365 y título 23 NYCRR, parte 500
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
Aplicabilidad | Servicios incluidos |
---|---|
Comercial | Exchange Online Protection, Exchange Online, Portal del cliente de Office 365, Office Online, Infraestructura de Servicios de Office, OneDrive para la Empresa, SharePoint Online, Skype Empresarial |
Preguntas más frecuentes
¿Qué instituciones se cubren en virtud de este reglamento?
Consulte qué instituciones supervisa el Departamento de Servicios Financieros de Nueva York para determinar si su institución se rige por el presente reglamento.
Recursos
- Recursos destacados
- Departamento de Servicios Financieros del Estado de Nueva York 23 NYCRR 500: Requisitos de ciberseguridad para Empresas de servicios financieros
- Servicios en la nube de Microsoft: soporte técnico con los requisitos NYDFS de ciberseguridad
- Cumplimiento normativo en el Centro de confianza de Microsoft