Signée par le gouverneur de New York le 25 juillet 2019, la loi Stop Hacks and Improve Electronic Data Security (SHIELD) est une loi sur la protection des données qui a élargi la définition des informations personnelles pour inclure le nom d'utilisateur et le mot de passe d'un compte en ligne et les données biométriques ; exige des contrôles spécifiques de sécurité des données pour les organisations afin de protéger les informations personnelles des résidents de New York ; et fixe des exigences spécifiques de notification des violations de données et des sanctions sur les organisations lorsque les données des résidents de New York ont été compromises.
En grande partie une mise à jour des lois précédentes de l'État de New York, la loi SHIELD entrera en vigueur le 21 mars 2020 et vise à améliorer les protections en matière de cybersécurité et la notification des violations de données, avec des amendes allant de 5 000 dollars par violation à 20 dollars par notification manquée (plafonnées à 250 000 dollars). À l'instar de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), si votre entreprise recueille des informations personnelles auprès d'un résident de l'État de New York - ou si vous échangez des informations avec un partenaire commercial qui le fait - la loi s'applique à vous, quel que soit le lieu où se trouve votre entreprise.
La différence notable entre le SHIELD Act et les autres lois sur la protection des données est qu'il fournit des critères de conformité. La loi définit trois (3) types de sauvegardes pour mesurer la conformité - administrative, physique et technique - avec des exigences telles que
Selon les définitions de la loi, la conformité peut être obtenue (appelée "sphère de sécurité") si une organisation répond aux exigences de la règle de sauvegarde de la GLBA, de la HIPAA ou de la partie 500 du règlement 23 NYCRR - bien que la loi ne soit pas claire sur la manière dont une organisation peut prouver qu'elle est conforme à l'un de ces régimes réglementaires.
Il existe plusieurs domaines dans lesquels les relations commerciales avec des tiers devront être prises en compte pour assurer la conformité au NY SHIELD Act. Nous utiliserons les puces de la section ci-dessus pour identifier ces domaines spécifiques et poserons plusieurs questions pour déterminer si votre organisation est prête à se conformer au SHIELD Act. Veuillez consulter le texte de la loi pour une vue complète des exigences. Le tableau ci-dessous ne doit pas être interprété comme des recommandations de conformité - il s'agit simplement de questions permettant d'évaluer ce que votre organisation pourrait avoir à traiter.
Exigence | Examen de contrôle |
---|---|
Recourir à des prestataires de services tiers capables de maintenir des pratiques appropriées en matière de cybersécurité, avec des garanties exigées par contrat. |
|
Évaluer le risque du programme de cybersécurité de l'entreprise, y compris la conception du réseau et des logiciels ainsi que le traitement, la transmission et le stockage des informations. |
|
Contrôle et test de l'efficacité du programme de cybersécurité |
|
Mettre à jour le programme périodiquement pour tenir compte des changements dans l'entreprise ou des circonstances qui nécessiteraient une modification du programme. | L'organisation dispose-t-elle d'options pour maintenir la flexibilité du programme, notamment :
|
Prevalent offre la seule plate-forme unifiée spécialement conçue pour la gestion des risques liés aux tiers. La plateforme Prevalent combine des évaluations automatisées des fournisseurs, une surveillance continue des menaces, un flux de travail d'évaluation et une gestion des mesures correctives tout au long du cycle de vie des fournisseurs, avec des services de conseil et d'expertise, un réseau et des options externalisées pour optimiser votre programme de gestion des risques. Avec plus de 50 options de questionnaires intégrés - y compris pour NYCRR 500 et d'autres utiles pour le SHIELD Act - Prevalent peut aider les organisations à obtenir une vue à 360 degrés des fournisseurs pour simplifier la conformité, réduire les risques et améliorer l'efficacité d'un programme évolutif de gestion des risques liés aux tiers.
Surveillez l'apparition d'autres options de questionnaire spécifiques à la loi SHIELD dans la plateformePrevalent et n'hésitez pas à nous contacter dès aujourd'hui si vous avez des questions sur l'impact de la loi SHIELD sur votre organisation. En attendant, n'oubliez pas de télécharger notre livre blanc sur la conformité, qui détaille les exigences en matière de gestion des risques liés aux tiers dans de nombreuses réglementations et normes et qui présente les capacités de Prevalentdans ces régimes.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024