La gestion des fournisseurs tiers est une fonction essentielle pour la protection des informations des clients et des entreprises. Les exigences en matière de politique de sécurité des fournisseurs de services tiers énoncées dans la partie 500 de la réglementation sur la cybersécurité du Département des services financiers de New York (DFS) étaient révolutionnaires et, si elles sont respectées, elles contribuent largement à renforcer les protections en matière de cybersécurité pour le secteur des services financiers de New York.
Lapartie 500 du NYDFS est entrée en vigueur le 1er mars 2017, avec une période de mise en œuvre de deux ans pour ses différentes dispositions. Le règlement s'applique à toute personne ou entité qui exerce ses activités en vertu d'une licence, d'une charte ou d'une autorisation similaire du DFS, conformément aux lois sur les banques, les assurances et les services financiers de New York. Cela inclut toutes les banques agréées par l'État, les courtiers en hypothèques et les prêteurs hypothécaires, les compagnies et agents d'assurance, les transmetteurs de fonds et les échanges de crypto-monnaies, autorisés à exercer leur activité à New York. Le règlement vise à protéger toutes les informations non publiques détenues par ces entreprises, y compris les informations personnelles des consommateurs, les informations sur les soins de santé et les informations liées à l'entreprise dont la divulgation aurait un impact négatif important sur les opérations commerciales ou la sécurité.
Webinaire à la demande : Protection de la cybersécurité des tiers et conformité avec le NYDFS et le NY SHIELD
Rejoignez-nous pour ce webinaire gratuit couvrant la partie 500 du NYDFS et sa disposition la plus récemment mise en œuvre pour la gestion des fournisseurs tiers.
L'objectif de la réglementation sur la cybersécurité du DFS est d'améliorer la sécurité des informations non publiques, de maintenir la continuité des activités et d'atténuer les risques liés à des violations potentielles de la cybersécurité, en fixant des normes minimales strictes que le secteur des services financiers de New York doit respecter afin de renforcer les contrôles et de protéger les informations non publiques. Le règlement contient de nombreuses dispositions énonçant diverses exigences en matière de programme de cybersécurité, de politique de cybersécurité, d'évaluation des risques, de cryptage, de tests de pénétration, d'authentification multifactorielle, de plan de réponse aux incidents, de formation et de gouvernance. La dernière disposition qui est entrée en vigueur le 1er mars 2019 est l'article 500.11, celui qui traite des fournisseurs de services tiers. Sur une base annuelle, chaque entité couverte doit certifier au NYDFS qu'elle est en conformité avec le règlement.
La partie 500.11, intitulée Politique de sécurité des fournisseurs de services tiers, repose sur le principe selon lequel une institution réglementée par le DSF, tenue de se conformer au règlement, est responsable de la sécurité des informations non publiques de l'entité couverte accessibles par des fournisseurs tiers. En d'autres termes, une entité couverte ne peut pas réduire ses protections de sécurité en permettant à des vendeurs tiers dont les protections de sécurité sont inadéquates d'avoir accès aux systèmes d'information de l'entité couverte et aux informations non publiques sur les clients et les entreprises. Les tiers visés par le règlement sont toute personne ou entité qui fournit des services à l'entité couverte et qui est autorisée à accéder à des informations non publiques par le biais de ces services.
Afin de se conformer au règlement, une entité réglementée par le DFS doit, au minimum, (1) identifier et évaluer périodiquement les risques associés à ses fournisseurs tiers, (2) concevoir et mettre en œuvre des politiques et des procédures pour faire face aux risques de cybersécurité de ses fournisseurs tiers, (3) effectuer une diligence raisonnable pour évaluer l'adéquation des pratiques de cybersécurité de chaque fournisseur, y compris les contrôles d'accès du tiers, l'utilisation du cryptage, le personnel et la formation ; et (4) prendre en compte les déclarations et garanties contractuelles concernant les protections de sécurité et la notification des événements de cybersécurité.
La cybersécurité est une responsabilité à l'échelle de l'entreprise, et la conformité à la Partie 500 doit donc suivre un processus à l'échelle de l'entreprise qui inclut l'évaluation des fournisseurs tiers. Ce processus doit inclure, sur une base périodique, une évaluation des risques des fournisseurs tiers de l'entreprise, en fonction de l'accès de chaque fournisseur à des informations non publiques et de la solidité de ses politiques et programmes de cybersécurité. L'évaluation doit comprendre un examen des contrôles d'accès, de l'utilisation du cryptage, des tests, du personnel et de la formation du fournisseur tiers. Tout comme l'entité couverte doit disposer d'un plan de réponse aux incidents, le fournisseur tiers qui détient les informations commerciales et les informations sur les clients de l'entité couverte doit également disposer d'un tel plan. Ces efforts sont d'une importance capitale pour atténuer le risque de tout dommage découlant d'une violation de la cybersécurité.
Nous sommes dans un monde où nous devons reconnaître que la cybersécurité est une menace existentielle qui ne peut probablement pas être éliminée, mais qui peut certainement être atténuée. Cyber Les criminels recherchent les vulnérabilités, et celles-ci peuvent exister dans la fourniture par une entreprise d'informations non publiques à des fournisseurs tiers. En cas de violation, l'entité couverte ne peut pas simplement pointer du doigt un fournisseur. Bien que le fournisseur puisse partager la responsabilité, la Partie 500 indique clairement que la gestion des fournisseurs et la diligence raisonnable de l'entreprise réglementée doivent inclure des protections en matière de cybersécurité. Ainsi, les fournisseurs tiers disposant de solides programmes de cybersécurité auront une longueur d'avance sur la concurrence pour la fourniture de services au secteur des services financiers réglementés de New York. Comme il se doit.
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024