Normativa Title 23 NYCRR Part 500
Panoramica sulla normativa Title 23 NYCRR Part 500
In risposta alle significative e sempre crescenti minacce alla sicurezza informatica di informazioni e sistemi finanziari, nel 2017 il Dipartimento dei servizi finanziari dello Stato di New York (NYDFS) ha imposto un nuovo set di requisiti di cybersecurity destinato alle istituzioni finanziarie aventi licenza o autorizzazione a operare entro i propri confini statali. Title 23 New York Codes, Rules, and Regulation Part 500: Cybersecurity Requirements for Financial Services Companies (requisiti di sicurezza informatica per le società di servizi finanziari) è una normativa concepita per proteggere i dati dei clienti e i sistemi di gestione di informazioni di istituzioni finanziarie come banche statali, private e internazionali, intermediari creditizi e assicurazioni.
Microsoft e la normativa Title 23 NYCRR Part 500
Ai fornitori di servizi finanziari disciplinati dalle norme Title 23 NYCRR Part 500, Microsoft offre la guida completa Servizi Cloud Microsoft: supporto per la conformità ai requisiti di sicurezza informatica del NYDFS . Il documento descrive in dettaglio come i servizi cloud di Azure, Office 365 e Power BI supportino la conformità a tali requisiti. Questi ultimi devono essere rispettati da ogni istituzione finanziaria che intenda operare nel centro finanziario globale di New York, pertanto la conformità risulta cruciale per molte organizzazioni.
Queste norme emesse dallo Stato di New York richiedono ad ogni istituto finanziario di:
- Sviluppare e mantenere un solido programma di sicurezza informatica, partendo da una valutazione del profilo dei rischi specifici dell'istituto, per poi definire un programma che li affronti. Per informazioni sull'interazione con Microsoft Cloud for Financial Services, vedere Microsoft Cloud Financial Services. Inoltre, la pagina Servizi finanziari del portale di trust dei servizi contiene risorse specifiche per paese che consentono di comprendere meglio come soddisfare i requisiti normativi globali.
- Implementare una politica completa in tema di cybersecurity, che tratti le questioni di sicurezza informatica, governance e classificazione dei dati, controlli di accesso, continuità operativa e simili. Microsoft offre indicazioni per lo sviluppo di tale politica, con informazioni dettagliate in merito a certificazioni, valutazione dei rischi, continuità operativa, metriche di disaster recovery e diagnostica per la registrazione e il controllo.
- Designare un Chief Information Security Officer (CISO) che gestisca il programma di sicurezza informatica applicando la relativa politica. Per aiutare il CISO, Microsoft fornisce informazioni approfondite sulla sicurezza informatica sulle distribuzioni cloud Microsoft tramite Microsoft Defender per cloud, Office 365 Advanced Threat Analytics e Power BI Security.
- Monitorare e testare l'efficacia del proprio programma di sicurezza informatica: Microsoft offre informazioni derivanti dai controlli delle proprie pratiche di cybersecurity, che includono il monitoraggio continuo, i test di penetrazione periodici e le valutazioni della vulnerabilità. I clienti possono condurre i propri test senza la previa autorizzazione di Microsoft.
- Mantenere un audit trail. Grazie alle funzionalità di controllo integrate di Azure, Office 365 e Power BI, i clienti generano informazioni utili per la ricostruzione di transazioni finanziarie e per lo sviluppo delle informazioni ricavate dall'audit trail.
- Limitare l'accesso ai sistemi informatici che contengono informazioni non pubbliche: Azure, Office 365 e Power BI offrono un processo di controllo degli accessi basato sui ruoli che è nativo per ogni servizio, oltre a stringenti requisiti di sicurezza e di accesso per ciascun amministratore Microsoft e controlli per ogni richiesta di accesso con privilegi elevati.
- Definire delle procedure per la valutazione e la verifica della sicurezza delle applicazioni sviluppate esternamente: per gli sviluppatori che usano Visual Studio, le regole di sicurezza per il codice gestito possono aiutare a garantire che le minacce di cybersecurity delle applicazioni siano rilevate e contrastate prima della distribuzione del codice.
- Avvalersi di valutazioni dei rischi periodiche per progettare e ottimizzare i programmi di cybersecurity: per i clienti, Microsoft aggrega informazioni relative a minacce per la sicurezza, fornisce guide di orientamento per la gestione delle modifiche e aggiorna regolarmente le informazioni sui subappaltatori. Inoltre, Microsoft conduce valutazioni di rischio dei propri servizi su base regolare, mettendone i risultati a disposizione dei clienti.
- Usare personale qualificato per gestire i rischi di sicurezza informatica e sovrintendere alle relative funzioni: Microsoft impiega rigorose procedure per regolare l'accesso dei propri dipendenti ai dati dei clienti. Se si rivolge a un subappaltatore, Microsoft resta comunque responsabile della distribuzione del servizio, assicurandosi che tale subappaltatore risulti pienamente conforme agli impegni assunti da Microsoft in materia di privacy e sicurezza, inclusi i requisiti per il trattamento dei dati sensibili, il controllo dei precedenti e il ricorso ad accordi di non divulgazione.
- Implementare politiche e procedure volte a garantire la sicurezza delle informazioni conservate da provider di servizi di terze parti: Azure, Office 365 e Power BI rendono disponibile l'autenticazione a più fattori per tutte le richieste di connessione in entrata verso le reti aziendali. Inoltre, implementano controlli e metodi crittografici per proteggere le informazioni non pubbliche che transitano su reti esterne e i dati a riposo. Prevedono anche le condizioni dei Microsoft Online Services, che forniscono notifiche al cliente, indagini sull'evento e la mitigazione del rischio per incidenti di sicurezza.
- Implementare criteri e procedure per la conservazione e l'eliminazione dei dati: è sempre possibile accedere ed estrarre i dati dei propri clienti archiviati in Azure, Office 365 e Power BI.
- Monitorare l'attività degli utenti autorizzati, rilevare gli accessi non autorizzati e offrire ai dipendenti corsi regolari volti a generare consapevolezza intorno al tema della sicurezza informatica: Azure, Office 365 e Power BI includono il monitoraggio esterno per lanciare allerte su eventuali incidenti, oltre a un'estesa diagnostica per le fasi di registrazione e controllo. La Microsoft Virtual Academy offre una formazione online riguardante la sicurezza informatica dei servizi cloud Microsoft.
- Sviluppare piani di risposta e recupero da incidenti di cybersecurity: Microsoft offre supporto nella preparazione delle organizzazioni contro incidenti di sicurezza informatica, adottando una strategia difensiva volta a rilevare, prevedere e prevenire violazioni della sicurezza prima che queste si verifichino. Per lo sviluppo dei propri piani di risposta alle violazioni di cybersecurity, è possibile ispirarsi al piano di gestione degli incidenti messo a disposizione da Microsoft.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure
- Intune
- Office 365
Office 365 e la normativa Title 23 NYCRR Part 500
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
Commerciale | Exchange Online Protection, Exchange Online, Portale per i clienti di Office 365, Office Online, Infrastruttura del servizio di Office, OneDrive for Business, SharePoint Online, Skype for Business |
Domande frequenti
Quali istituzioni devono sottostare a questa normativa?
Per determinare se il proprio istituto è regolato da tale normativa, consultare il sito del Dipartimento dei servizi finanziari dello Stato di New York, alla sezione Who We Supervise.
Risorse
- Risorse in primo piano
- Dipartimento dei servizi finanziari dello Stato di New York, normativa 23 NYCRR 500: requisiti di sicurezza informatica per le società di servizi finanziari
- Servizi Cloud Microsoft: supporto per la conformità ai requisiti di sicurezza informatica del NYDFS
- Conformità nel Centro protezione Microsoft