Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Panoramica sulla normativa Title 23 NYCRR Part 500
In risposta alle significative e sempre crescenti minacce alla sicurezza informatica di informazioni e sistemi finanziari, nel 2017 il Dipartimento dei servizi finanziari dello Stato di New York (NYDFS) ha imposto un nuovo set di requisiti di cybersecurity destinato alle istituzioni finanziarie aventi licenza o autorizzazione a operare entro i propri confini statali. Title 23 New York Codes, Rules, and Regulation Part 500: Cybersecurity Requirements for Financial Services Companies (requisiti di sicurezza informatica per le società di servizi finanziari) è una normativa concepita per proteggere i dati dei clienti e i sistemi di gestione di informazioni di istituzioni finanziarie come banche statali, private e internazionali, intermediari creditizi e assicurazioni.
Microsoft e la normativa Title 23 NYCRR Part 500
Ai fornitori di servizi finanziari disciplinati dalle norme Title 23 NYCRR Part 500, Microsoft offre la guida completa Servizi Cloud Microsoft: supporto per la conformità ai requisiti di sicurezza informatica del NYDFS . Spiega in modo approfondito come i servizi cloud di Azure, Microsoft 365 e Power BI supportano la conformità ai requisiti. Questi ultimi devono essere rispettati da ogni istituzione finanziaria che intenda operare nel centro finanziario globale di New York, pertanto la conformità risulta cruciale per molte organizzazioni.
Queste norme emesse dallo Stato di New York richiedono ad ogni istituto finanziario di:
- Sviluppare e mantenere un solido programma di sicurezza informatica, partendo da una valutazione del profilo dei rischi specifici dell'istituto, per poi definire un programma che li affronti. Per informazioni sull'interazione con Microsoft Cloud for Financial Services, vedere Microsoft Cloud Financial Services. Inoltre, la pagina Servizi finanziari del portale di trust dei servizi contiene risorse specifiche per paese/area geografica che consentono di comprendere meglio come soddisfare i requisiti normativi globali.
- Implementare una politica completa in tema di cybersecurity, che tratti le questioni di sicurezza informatica, governance e classificazione dei dati, controlli di accesso, continuità operativa e simili. Microsoft offre indicazioni per lo sviluppo di tale politica, con informazioni dettagliate in merito a certificazioni, valutazione dei rischi, continuità operativa, metriche di disaster recovery e diagnostica per la registrazione e il controllo.
- Designare un Chief Information Security Officer (CISO) che gestisca il programma di sicurezza informatica applicando la relativa politica. Per aiutare il CISO, Microsoft fornisce informazioni approfondite sulla sicurezza informatica sulle distribuzioni cloud Microsoft tramite Microsoft Defender per cloud, Microsoft 365 Advanced Threat Analytics e Power BI Security.
- Monitorare e testare l'efficacia del proprio programma di sicurezza informatica: Microsoft offre informazioni derivanti dai controlli delle proprie pratiche di cybersecurity, che includono il monitoraggio continuo, i test di penetrazione periodici e le valutazioni della vulnerabilità. I clienti possono condurre i propri test senza la previa autorizzazione di Microsoft.
- Mantenere un audit trail. Le funzionalità di controllo predefinite dei clienti di Azure, Microsoft 365 e Power BI generano informazioni che possono essere usate per ricostruire le transazioni finanziarie e sviluppare informazioni di audit trail.
- Limitare l'accesso ai sistemi informativi che contengono informazioni non pubbliche: misure che Azure, Microsoft 365 e Power BI offrono un processo di controllo degli accessi in base al ruolo nativo di ogni servizio, rigorosi requisiti di sicurezza e accesso per ogni amministratore Microsoft e controlli di ogni richiesta di privilegi di accesso elevati.
- Definire delle procedure per la valutazione e la verifica della sicurezza delle applicazioni sviluppate esternamente: per gli sviluppatori che usano Visual Studio, le regole di sicurezza per il codice gestito possono aiutare a garantire che le minacce di cybersecurity delle applicazioni siano rilevate e contrastate prima della distribuzione del codice.
- Avvalersi di valutazioni dei rischi periodiche per progettare e ottimizzare i programmi di cybersecurity: per i clienti, Microsoft aggrega informazioni relative a minacce per la sicurezza, fornisce guide di orientamento per la gestione delle modifiche e aggiorna regolarmente le informazioni sui subappaltatori. Inoltre, Microsoft conduce valutazioni di rischio dei propri servizi su base regolare, mettendone i risultati a disposizione dei clienti.
- Usare personale qualificato per gestire i rischi di sicurezza informatica e sovrintendere alle relative funzioni: Microsoft impiega rigorose procedure per regolare l'accesso dei propri dipendenti ai dati dei clienti. Se si rivolge a un subappaltatore, Microsoft resta comunque responsabile della distribuzione del servizio, assicurandosi che tale subappaltatore risulti pienamente conforme agli impegni assunti da Microsoft in materia di privacy e sicurezza, inclusi i requisiti per il trattamento dei dati sensibili, il controllo dei precedenti e il ricorso ad accordi di non divulgazione.
- Implementare criteri e procedure per garantire la sicurezza delle informazioni contenute nei provider di servizi di terze parti: Azure, Microsoft 365 e Power BI rendono disponibile l'autenticazione a più fattori per tutte le connessioni in ingresso alle reti aziendali; implementare controlli, inclusa la crittografia, per proteggere le informazioni non pubbliche in transito su reti esterne e inattivi; e offrono condizioni per i servizi online Microsoft che forniscono notifiche ai clienti, indagini sugli eventi imprevisti e mitigazione dei rischi per gli eventi imprevisti di sicurezza.
- Implementare criteri e procedure di conservazione ed eliminazione dei dati: è sempre possibile accedere ed estrarre i dati dei clienti archiviati in Azure, Microsoft 365 e Power BI.
- Monitorare l'attività degli utenti autorizzati, rilevare l'accesso non autorizzato e offrire ai dipendenti una formazione regolare sulla consapevolezza della sicurezza informatica: Azure, Microsoft 365 e Power BI includono il monitoraggio esterno per generare avvisi sugli eventi imprevisti e una diagnostica completa per la registrazione e il controllo. La Microsoft Virtual Academy offre una formazione online riguardante la sicurezza informatica dei servizi cloud Microsoft.
- Sviluppare piani di risposta e recupero da incidenti di cybersecurity: Microsoft offre supporto nella preparazione delle organizzazioni contro incidenti di sicurezza informatica, adottando una strategia difensiva volta a rilevare, prevedere e prevenire violazioni della sicurezza prima che queste si verifichino. Per lo sviluppo dei propri piani di risposta alle violazioni di cybersecurity, è possibile ispirarsi al piano di gestione degli incidenti messo a disposizione da Microsoft.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure
- Intune
- Microsoft 365
Microsoft 365 e Titolo 23 NYCRR Parte 500
Ambienti Microsoft 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Microsoft 365 e servizi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e la sottoscrizione di Microsoft 365:
| Applicabilità | Servizi inclusi nell'ambito |
|---|---|
| Commerciale | Exchange Online Protection, Exchange Online, Portale clienti di Microsoft 365, Microsoft Teams, Office Online, Infrastruttura dei servizi di Office, OneDrive for Business, SharePoint Online |
Domande frequenti
Quali istituzioni devono sottostare a questa normativa?
Per determinare se il proprio istituto è regolato da tale normativa, consultare il sito del Dipartimento dei servizi finanziari dello Stato di New York, alla sezione Who We Supervise.
Risorse
- Dipartimento dei servizi finanziari dello Stato di New York, normativa 23 NYCRR 500: requisiti di sicurezza informatica per le società di servizi finanziari
- Servizi Cloud Microsoft: supporto per la conformità ai requisiti di sicurezza informatica del NYDFS
- Conformità nel Centro protezione Microsoft
Ulteriori risorse Microsoft per i servizi finanziari
- Microsoft Cloud Financial Services
- Servizi finanziari nel portale di trust dei servizi
- Responsabilità condivise per il cloud computing
- Conformità nel Centro protezione Microsoft