Título 23 do NYCRR Parte 500

Visão geral do Título 23 do NYCRR Parte 500

Em resposta a ameaças graves e cada vez maiores à segurança cibernética dos sistemas de informação e financeiro, em 2017, o Departamento de Serviços Financeiros do Estado de Nova York impôs um novo conjunto de requisitos de segurança cibernética às instituições financeiras licenciadas ou autorizadas a fazer negócios no estado. Título 23, Códigos, Regras e Regulamentações de Nova York Parte 500: Os Requisitos de Segurança cibernética para Empresas de Serviços Financeiros foram projetado para proteger os dados do cliente e os sistemas de tecnologia da informação de instituições financeiras, como bancos estaduais, privados e internacionais, corretores de hipoteca e companhias de seguros.

Microsoft e Título 23 do NYCRR Parte 500

A Microsoft fornece um guia completo, o Serviços do Microsoft Cloud: dar suporte à conformidade com os requisitos de segurança cibernética do NYDFS, para serviços financeiros regulamentados em Título 23 do NYCRR Parte 500. O guia detalha como os serviços de nuvem do Azure, Office 365 e Power BI dão suporte à conformidade por meio dos requisitos. As instituições financeiras que desejam operar no centro financeiro mundial nova iorquino devem atender a esses requisitos. Portanto, a conformidade é fundamental para muitas instituições.

Os novos regulamentos de Nova York exigem que cada instituição financeira:

  • Desenvolva e mantenha um programa robusto de segurança cibernética começando com uma avaliação do perfil de risco específico da instituição e, em seguida, criando um programa que os solucione. O Programa de conformidade para serviços financeiros do Microsoft Cloud foi criado para ajudar os serviços financeiros na avaliação dos riscos com o uso dos serviços de nuvem da Microsoft. O programa inclui o envolvimento direto com nossos engenheiros e executivos de risco corporativo e acesso a nossos especialistas em conformidade e segurança.
  • Implemente uma política de segurança cibernética abrangente que trate da segurança da informação, controle e classificação de dados, controles de acesso, continuidade de negócios e outras questões similares. A Microsoft oferece orientação para o desenvolvimento desta política com informações detalhadas sobre nossas certificações e avaliações de risco; métricas de continuidade de negócios e recuperação de desastres; e diagnóstico para registros em log e auditoria.
  • Designe um diretor de segurança da informação (CISO) para gerenciar o programa de segurança cibernética e aplicar a política. Para ajudar o CISO, a Microsoft fornece informações detalhadas de segurança cibernética sobre as implantações do Microsoft Cloud por meio da Central de Segurança do Azure, Office 365 Advanced Threat Analytics e da Segurança do Power BI.
  • Monitore e teste a eficácia de seu programa segurança cibernética: a Microsoft fornece informações de auditorias de suas práticas de segurança cibernética que incluem monitoramento contínuo, testes periódicos de penetração e avaliações de vulnerabilidades. Os clientes podem realizar seus próprios testes sem permissão prévia da Microsoft.
  • Mantenha uma trilha de auditoria. As funcionalidades internas de auditoria dos clientes do Azure, Office 365 e Power BI geram informações que podem ser usadas para reconstituir transações financeiras e desenvolver informações da trilha de auditoria.
  • Limitar o acesso a sistemas de informações que contenham informações não públicas: mede que o Azure, o Office 365 e o Power BI oferecem um processo de controle de acesso baseado em função (RBAC) nativo para cada serviço, requisitos rigorosos de segurança e acesso para todos os administradores da Microsoft e auditorias de todas as solicitações de privilégios de acesso elevados.
  • Estabeleça procedimentos para avaliar e testar a segurança de aplicativos desenvolvidos externamente: para desenvolvedores que usam o Visual Studio, as Regras de segurança do código gerenciado podem ajudar a garantir que as ameaças à segurança cibernética do aplicativo sejam detectadas e atenuadas antes da implantação do código.
  • Use avaliações de risco periódicas para criar e aprimorar programas de segurança cibernética: para clientes, a Microsoft agrega informações sobre ameaças à segurança, fornece roteiros de gerenciamento de alterações e atualiza regularmente as informações sobre subcontratados. A Microsoft também realiza regularmente avaliações de risco de seus próprios serviços e os resultados estão disponíveis para os clientes.
  • Use pessoal qualificado para gerenciar riscos de segurança cibernética e supervisionar funções de segurança cibernética: a Microsoft emprega procedimentos rigorosos para o acesso de nossos funcionários aos dados de seus clientes. Se usamos subcontratados, nos mantemos responsáveis pela prestação dos serviços e garantiremos que os subcontratados cumpram totalmente os compromissos de privacidade e segurança da Microsoft, incluindo requisitos para o tratamento de dados confidenciais, verificações de antecedentes e acordos de confidencialidade.
  • Implemente políticas e procedimentos para garantir a segurança das informações mantidas por provedores de serviços de terceiros: o Azure, Office 365 e Power BI disponibilizam a autenticação multifator para todas as conexões de entrada nas redes da empresa; implementam controles, incluindo criptografia, para proteger informações não públicas que estão em trânsito por meio de redes externas e em repouso; e oferecem Termos do Microsoft Online Services que incluem a notificação ao cliente, investigação de incidentes e mitigação de riscos para incidentes de segurança.
  • Implemente políticas e procedimentos de exclusão e retenção de dados: sempre que desejar, você pode acessar e extrair dados de clientes armazenados no Azure, Office 365 e Power BI.
  • Monitore a atividade de usuários autorizados, detecte acesso não autorizado e ofereça treinamento regular de conscientização sobre a segurança cibernética aos funcionários: o Azure, o Office 365 e o Power BI incluem monitoramento externo para gerar alertas sobre incidentes e diagnósticos abrangentes para registros em log e auditoria. O Microsoft Virtual Academy oferece treinamento online abordando a segurança cibernética dos serviços de nuvem da Microsoft.
  • Desenvolva planos para responder e recuperar-se de incidentes de segurança cibernética: a Microsoft ajuda você a se preparar para incidentes de segurança cibernética usando uma estratégia defensiva para detectar, prever e evitar violações de segurança antes que elas ocorram. Durante o desenvolvimento de seus próprios planos, você pode usar nosso plano de gerenciamento de incidentes para reagir às violações de segurança cibernética.

Plataformas e serviços de nuvem no escopo da Microsoft

  • Azure
  • Intune
  • Office 365

Office 365 e Título 23 NYCRR Parte 500

Ambientes de nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Proteção do Exchange Online, Exchange Online, Portal do Cliente do Office 365, Office Online, Infraestrutura de Serviços do Office, OneDrive for Business, SharePoint Online, Skype for Business

Perguntas frequentes

Quais instituições são cobertas por essa regulamentação?

Consulte o site do Departamento de Serviços Financeiros de Nova York Que Supervisionamos para determinar se sua instituição é regida por este regulamento.

Recursos

Outros recursos da Microsoft para serviços financeiros