Demandez une démo
Bouclier de conformité des héros

Conformité à la loi SHIELD de New York

New York SHIELD et la gestion des risques liés aux tiers

Signée par le gouverneur de l'État américain de New York le 25 juillet 2019, la loi Stop Hacks and Improve Electronic Data Security (SHIELD) est une loi sur la protection des données qui a élargi la définition des informations personnelles pour y inclure le nom d'utilisateur et le mot de passe d'un compte en ligne et les données biométriques ; exige des contrôles spécifiques de sécurité des données pour les organisations afin de protéger les informations personnelles des résidents de New York ; et fixe des exigences spécifiques de notification des violations de données et des sanctions pour les organisations lorsque les données des résidents de New York ont été compromises.

En grande partie une mise à jour des lois précédentes de l'État de New York, la loi SHIELD est entrée en vigueur le 21 mars 2020 et vise à améliorer les protections en matière de cybersécurité et la notification des violations de données, avec des amendes allant de 5 000 dollars par violation à 20 dollars par notification manquée (plafonnées à 250 000 dollars). À l'instar de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), si votre entreprise recueille des informations personnelles auprès d'un résident de l'État de New York - ou si vous échangez des informations avec un partenaire commercial qui le fait - la loi s'applique à vous, quel que soit le lieu où se trouve votre entreprise.

Conditions applicables

  • Désigner et former des employés chargés de coordonner la conformité en matière de cybersécurité.

  • Utiliser des fournisseurs de services tiers capables de maintenir des pratiques de cybersécurité appropriées, avec des garanties exigées par contrat.

  • Évaluer le risque du programme de cybersécurité de l'entreprise, y compris la conception du réseau et des logiciels, ainsi que le traitement, la transmission et le stockage des informations.

  • Appliquer des processus et des protections physiques pour détecter, prévenir et répondre aux attaques ou aux défaillances du système.

  • Contrôler et tester l'efficacité du programme de cybersécurité

  • Appliquer des processus pour éliminer les données de manière sûre, sécurisée et permanente dans un délai raisonnable après qu'elles ne sont plus nécessaires.

  • Mettre à jour le programme périodiquement pour tenir compte des changements dans l'entreprise ou d'autres circonstances.

Alignez votre programme TPRM sur CCPA, GDPR, HIPAA et autres

Téléchargez ce guide pour passer en revue les exigences spécifiques de 6 autorités de protection de la vie privée, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Lire la suite
Ressources présentées manuel de conformité vie privée

Répondre aux exigences du NY SHIELD

Voici comment Prevalent peut vous aider à répondre aux exigences du SHIELD en matière de gestion des risques liés aux tiers :

Exigences du SHIELD Quelle aide nous apportons

Recourir à des prestataires de services tiers capables de maintenir des pratiques appropriées en matière de cybersécurité, avec des garanties exigées par contrat.
  • L'organisation procède-t-elle à des évaluations de tiers basées sur les contrôles internes, en fonction des exigences des lois applicables telles que la GLBA, la HIPAA ou le NYCRR Part 500 ?
  • L'organisation surveille-t-elle les réseaux externes de tiers et utilise-t-elle des renseignements sur les risques commerciaux tels que les événements d'actualité, les finances, les licenciements, les changements de direction, les poursuites judiciaires, etc. qui peuvent servir de prédicteurs de vulnérabilités futures ?
  • Existe-t-il un processus défini pour identifier, classer, hiérarchiser et gérer les risques à un niveau acceptable ?
  • L'organisation dispose-t-elle d'un processus de flux de travail défini pour faire remonter les risques identifiés en vue d'y remédier ?

Évaluer le risque du programme de cybersécurité de l'entreprise, y compris la conception du réseau et des logiciels ainsi que le traitement, la transmission et le stockage des informations.
  • L'organisation utilise-t-elle l'analyse de la vulnérabilité des réseaux externes ainsi que de multiples sources externes pour obtenir des renseignements sur les menaces à l'adresse cyber ?
  • Outre la surveillance externe, l'organisation effectue-t-elle des tests de pénétration pour mettre en évidence les vulnérabilités ?
  • L'organisation surveille-t-elle les relations entre les différents tiers afin d'avoir une visibilité sur la manière dont les informations personnelles pourraient être partagées ?

Contrôle et test de l'efficacité du programme de cybersécurité
  • Existe-t-il une piste d'audit centrale qui garde la trace de toutes les interactions entre les fournisseurs et l'organisation ?
  • Existe-t-il un registre central des risques pour centraliser tous les risques identifiés à partir des défaillances du contrôle interne ou des résultats de l'analyse externe cyber , de sorte qu'un score de risque clair soit communiqué ?
  • Existe-t-il une capacité de rapport en direct pour montrer les risques existants et les effets des remèdes prévus ?
  • Existe-t-il des rapports spécifiques à la conformité indiquant le pourcentage d'atteinte ou de progression vers la conformité ?

Mettre à jour le programme périodiquement pour tenir compte des changements dans l'entreprise ou des circonstances qui nécessiteraient une modification du programme.

L'organisation dispose-t-elle d'options pour maintenir la flexibilité du programme, notamment :

  • Plusieurs options de questionnaire standard du secteur, avec la possibilité d'en personnaliser un en fonction de l'entreprise ?
  • Définir des calendriers d'évaluation pour déterminer les tiers à évaluer avec des rappels de poursuite automatisés ?
  • La possibilité d'externaliser la collecte et l'analyse des enquêtes auprès des fournisseurs afin de concentrer les équipes internes de gestion des risques sur la gestion des risques ?
  • Tirer parti des enquêtes pré-remplies et des preuves fournies par les fournisseurs pour accélérer le processus de gestion des risques ?
Ressources disponibles
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo