Titre 23 NYCRR partie 500
Vue d’ensemble du titre 23 NYCRR partie 500
En réponse aux menaces importantes et croissantes pour la cybersécurité des systèmes d’information et des systèmes financiers, en 2017, le département des services financiers de l’État de New York a imposé un nouvel ensemble d’exigences de cyber-sécurité pour les institutions financières titulaires d’une licence ou d’une autorisation à exercer leurs activités dans cet État. Le présent règlement (Titre 23 codes, règles et règlements partie 500 : Exigences de cybersécurité pour les sociétés de services financiers) est conçu pour protéger les données des clients et les systèmes informatiques des institutions financières telles que les banques d’État, les banques privées et internationales, les courtiers en prêt hypothécaire et les compagnies d’assurance.
Microsoft et titre 23 NYCRR partie 500
Microsoft fournit un guide complet, Microsoft Cloud Services: Supporting Compliance with NYDFS Cybersecurity Requirements, pour les services financiers réglementés par le titre 23 NYCRR partie 500. Ce guide explique en détail comment les services Cloud Azure, Office 365 et Power BI prennent en charge la conformité aux exigences. Les institutions financières qui cherchent à opérer dans le centre financier mondial de New York doivent les satisfaire, si bien que la conformité est critique pour de nombreuses institutions.
Les réglementations de New York exigent de chaque institution financière les actions suivantes :
- Développement et gestion d’un programme de cybersécurité solide en commençant par une évaluation du profil de risque spécifique de l’institution, puis en concevant un programme qui traite ce problème. Pour plus d’informations sur l’engagement avec Microsoft Cloud for Financial Services, consultez Microsoft Cloud Financial Services. En outre, la page Services financiers de notre portail d’approbation de services contient des ressources spécifiques au pays pour vous aider à mieux comprendre comment répondre à vos exigences réglementaires globales.
- Implémentation d’une stratégie de cybersécurité complète qui assure la sécurité des informations, la gouvernance et la classification des données, les contrôles d’accès, la continuité des activités, etc. Microsoft fournit des conseils pour développer cette stratégie avec des informations détaillées sur nos certifications et évaluations des risques, la continuité d’activité et nos mesures de récupération d’urgence ; et les diagnostics pour l’enregistrement et l’audit.
- Désignation d’un responsable de la sécurité de l’information pour gérer le programme de cybersécurité et appliquer la stratégie. Pour aider votre CISO, Microsoft fournit des informations de cybersécurité détaillées sur les déploiements cloud Microsoft via Microsoft Defender pour le cloud, Office 365 Advanced Threat Analytics et Power BI Security.
- Surveillance et test de l’efficacité de son programme de cybersécurité : Microsoft fournit des informations provenant des audits de ses pratiques en matière de cybersécurité qui incluent une surveillance continue, des tests de pénétration périodiques et des évaluations de vulnérabilité. Les clients peuvent effectuer leurs propres tests sans autorisation préalable de Microsoft.
- Conservation d’une piste d’audit. Les fonctionnalités d’audit intégrées des clients Azure, Office 365 et Power BI génèrent des informations qui peuvent être utilisées pour reconstituer des transactions financières et développer les informations de piste d’audit.
- Limitation de l’accès aux systèmes d’information qui contiennent des informations non publiques. Azure, Office 365 et Power BI proposent un processus de contrôle d’accès basé sur les rôles (RBAC) natif pour chaque service, des exigences strictes en matière de sécurité et d’accès pour chaque administrateur Microsoft et des audits de toutes les demandes de privilèges d’accès élevés.
- Élaboration de procédures pour évaluer et tester la sécurité des applications développées en externe : pour les développeurs utilisant Visual Studio, les règles de sécurité du code géré permettent de s’assurer que les menaces à la cybersécurité des applications sont détectées et atténuées avant que le code ne soit déployé.
- Utilisation des évaluations des risques périodiques pour concevoir et améliorer les programmes de cybersécurité : pour les clients, Microsoft agrège les informations relatives aux menaces de sécurité, fournit des feuilles de route de la gestion des modifications et met régulièrement à jour les informations sur les sous-traitants. Microsoft effectue également régulièrement des évaluations des risques de ses propres services, dont les résultats sont à la disposition des clients.
- Utilisation d’un personnel qualifié pour gérer les risques en matière de cybersécurité et superviser les fonctions de cybersécurité : Microsoft emploie des procédures rigoureuses pour l’accès des employés à vos données client. Si vous engagez des sous-traitants, nous restons responsables de la fourniture de services et garantissons que les sous-traitants respectent pleinement les engagements en matière de confidentialité et de sécurité de Microsoft, notamment les exigences pour la gestion des données sensibles, les vérifications d’arrière-plan et les accords de non-divulgation.
- Implémentation de stratégies et procédures afin de garantir la sécurité des informations détenues par des fournisseurs de service tiers : Azure, Office 365 et Power BI rendent l’authentification multifacteur disponible pour toutes les connexions entrantes aux réseaux d’entreprise ; implémentation de contrôles, y compris le chiffrement, pour protéger les informations non publiques en transit sur les réseaux extérieurs et au repos ; et offres de conditions de Microsoft Online Services qui fournissent la notification au client, l’analyse des incidents et l’atténuation des risques pour les incidents de sécurité.
- Implémentation de stratégies et de procédures de conservation et de suppression de données : vous pouvez toujours accéder aux données client stockées dans Azure, Office 365 et Power BI et les extraire.
- Surveillance de l’activité des utilisateurs autorisés, détection de l’accès non autorisé et formation régulières de sensibilisation des employés à la cybersécurité : Azure, Office 365 et Power BI incluent la surveillance en extérieur pour déclencher des alertes sur les incidents et des diagnostics complets pour la journalisation et l’audit. Microsoft Virtual Academy propose une formation en ligne couvrant la cybersécurité des services de cloud computing de Microsoft.
- Développement de plans pour répondre aux incidents de cybersécurité et restaurer le système : Microsoft vous aide à préparer les incidents de cybersécurité en utilisant une stratégie défensive pour détecter, prédire et prévenir les violations de la sécurité avant qu’elles ne se produisent. Lorsque vous développez vos propres plans, vous pouvez tirer parti de notre plan de gestion des incidents afin de répondre aux violations de la cybersécurité.
Plateformes et services du cloud computing de Microsoft dans le champ d’application
- Azure
- Intune
- Office 365
Office 365 et le titre NYCRR 23 partie 500
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
| l’applicabilité | Les Services dans l’étendue |
|---|---|
| Commerciale | Exchange Online Protection, Exchange Online, Office 365 Customer Portal, Office Online, Infrastructure des services Office, OneDrive Entreprise, SharePoint Online, Skype Entreprise |
Questions fréquentes (FAQ)
Quelles sont les institutions couvertes par le présent règlement ?
Pour déterminer si votre institution est régie par le présent règlement, consultez le département des services financiers de New York (Que nous supervisons).
Ressources
- Ressources proposées
- Département des services financiers de l’État de New York 23 NYCRR 500 : exigences de cybersécurité pour les sociétés de services financiers
- Services de cloud computing de Microsoft : prise en charge de la conformité avec les exigences de cybersécurité du NYDFS
- Conformité sur le centre de gestion de la confidentialité Microsoft
Autres ressources Microsoft pour les services financiers
- Services Enterprise Cloud et financiers Microsoft
- Microsoft Cloud Financial Services
- Services financiers dans le portail d’approbation de services
- Responsabilités partagées pour le cloud computing-
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour