ในเดือนพฤษภาคม 2017 กระทรวงบริการทางการเงินแห่งรัฐนิวยอร์ก (NYDFS) ได้เผยแพร่ 23 NYCRR Part 500 ซึ่งเป็นกฎความปลอดภัยทางไซเบอร์ฉบับใหม่ กฎระเบียบนี้มีผลบังคับใช้อย่างสมบูรณ์แล้ว แต่สิ่งที่แน่นอนอาจไม่ชัดเจน
นับตั้งแต่มีการประกาศ ข้อกำหนดชุดนี้มีการเปลี่ยนแปลงเล็กน้อย และภาษากฎหมายอาจไม่มีความชัดเจน ข้อบังคับความปลอดภัยทางไซเบอร์ของ NYDFS คืออะไร และมีผลกระทบอย่างไรกับคุณ? มาดูกันดีกว่า
ระเบียบความปลอดภัยทางไซเบอร์ของ NYDFS คืออะไร
ระเบียบข้อบังคับด้านความปลอดภัยทางไซเบอร์ของ NYDFS ระบุข้อกำหนดด้านความปลอดภัยสำหรับบริการทางการเงินในนิวยอร์ก เช่นเดียวกับกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของยุโรป กฎเหล่านี้มีจุดมุ่งหมายในการปกป้องข้อมูลของพลเมืองโดยกำหนดให้บริษัทมีมาตรฐานเฉพาะ ในกรณีนี้ มาตรฐานเหล่านี้ส่วนใหญ่มาจาก NIST Cybersecurity Framework
ภายใต้ข้อบังคับเหล่านี้ บริษัททางการเงินในนิวยอร์กต้อง:
- ตรวจสอบความปลอดภัยและความเป็นส่วนตัวของข้อมูลของระบบไอทีเป็นระยะ
- บันทึกเหตุการณ์ด้านความปลอดภัยในโลกไซเบอร์และเก็บบันทึกเหล่านี้ไว้เป็นเวลาห้าปี
- มีนโยบายและขั้นตอนสำหรับการลบข้อมูลส่วนบุคคลอย่างปลอดภัยที่ไม่ต้องการอีกต่อไป
- จำกัดการเข้าถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) และตรวจสอบสิทธิ์เหล่านี้เป็นประจำ
- มีแผนเป็นลายลักษณ์อักษรโดยละเอียดเกี่ยวกับการค้นหา การตอบสนอง และการกู้คืนจากเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
- แจ้ง NYDFS ภายใน 72 ชั่วโมงหลังจากเหตุการณ์ความปลอดภัยทางไซเบอร์
ไม่เหมือนกับกฎหมายที่คล้ายคลึงกัน ข้อบังคับความปลอดภัยทางไซเบอร์ของ NYDFS มีคำแนะนำโดยละเอียดเกี่ยวกับแผนการรักษาความปลอดภัยและการรายงานเหล่านี้ นอกจากนี้ยังกำหนดให้บริษัทต่างๆ ต้องมั่นใจว่าบุคคลที่สามของตนมีความปลอดภัย ไม่ใช่แค่การดำเนินการภายในเท่านั้น
ข้อกำหนดเหล่านี้ทำให้กฎระเบียบนี้เป็นหนึ่งในรัฐที่กว้างและเข้มงวดที่สุด ธุรกิจที่ละเมิดพวกเขาอาจถูกปรับจำนวนมาก แต่ขอบเขตของบทลงโทษทั้งหมดยังไม่ชัดเจน
ใครบ้างที่กฎระเบียบความปลอดภัยทางไซเบอร์ของ NYDFS มีผลบังคับใช้
ระเบียบข้อบังคับด้านความปลอดภัยทางไซเบอร์ของ NYDFS ใช้กับบุคคลหรือนิติบุคคลใดๆ ที่ต้องการใบอนุญาตจาก NYDFS ที่ครอบคลุมบริษัททางการเงินและประกันภัยในนิวยอร์ก ได้แก่:
- ธนาคาร.
- สหภาพเครดิต.
- บริษัทการลงทุน
- ผู้ให้กู้ที่ได้รับอนุญาต
- นายหน้าสินเชื่อที่อยู่อาศัย
- ผู้ให้บริการประกันภัย
- สมาคมการออมและสินเชื่อ
หน่วยงานที่ครอบคลุมเหล่านี้รวมถึงธุรกิจในท้องถิ่นและบริษัทต่างประเทศที่ได้รับใบอนุญาตให้ทำงานในนิวยอร์ก ตัวอย่างเช่น แม้ว่า Deutsche Bank จะเป็นบริษัทสัญชาติเยอรมัน แต่ก็ต้องปฏิบัติตาม 23 NYCRR Part 500 เนื่องจากดำเนินการในนิวยอร์กซิตี้
มีข้อยกเว้นบางประการสำหรับรายการนี้ บริษัทที่มีพนักงานน้อยกว่า 10 คน ซึ่งมีรายได้ต่อปีน้อยกว่า 5 ล้านดอลลาร์จากนิวยอร์กในช่วง 3 ปีที่ผ่านมา หรือน้อยกว่า 10 ล้านดอลลาร์ในสินทรัพย์รวมสิ้นปีจะได้รับการยกเว้น ธุรกิจที่ไม่ได้จัดเก็บหรือประมวลผลข้อมูลส่วนตัวก็เช่นกัน แต่ไม่น่าจะเป็นไปได้สำหรับบริษัทที่ให้บริการทางการเงิน
ข้อบังคับความปลอดภัยทางไซเบอร์มีความหมายต่อคุณอย่างไร
หากคุณอาศัยหรือธนาคารในรัฐนิวยอร์ก สถาบันของคุณอาจอยู่ภายใต้ระเบียบข้อบังคับเหล่านี้ แม้ว่าคุณจะไม่ทำเช่นนั้น กฎระเบียบความปลอดภัยทางไซเบอร์ของ NYDFS ก็ยังสามารถนำไปใช้กับธนาคารของคุณได้ หากมีสาขาที่ดำเนินงานในรัฐและตรงตามข้อกำหนดทางการเงิน ก็จะต้องปฏิบัติตาม
ในฐานะลูกค้าของธนาคาร คุณไม่จำเป็นต้องดำเนินการใดๆ ภายใต้ข้อกำหนดเหล่านี้ คุณอาจเห็นการเปลี่ยนแปลงบางอย่างในการดำเนินงานของสถาบันการเงินหรือบริษัทประกันของคุณ คุณอาจต้องใช้ขั้นตอนการรักษาความปลอดภัยเพิ่มเติม เช่น การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) หรือปรับสิทธิ์ของคุณเนื่องจากบริษัทเหล่านี้ปรับปรุงมาตรการรักษาความปลอดภัยทางไซเบอร์
NIST Cybersecurity Framework ซึ่งเป็นแรงบันดาลใจให้กฎเหล่านี้ รวมถึงการแบ่งปันข้อมูลอย่างทันท่วงที ซึ่งอาจส่งผลต่อคุณ หากมีเหตุการณ์เกิดขึ้นที่ธนาคารหรือบริษัทประกันของคุณ พวกเขาอาจต้องแจ้งให้คุณทราบ คุณอาจจะไม่ต้องดำเนินการใดๆ ตอบกลับ แต่คุณสามารถคาดหวังว่าจะได้รับข้อความประเภทนี้
แม้ว่าคุณจะไม่มีภาระผูกพันทางกฎหมายภายใต้ 23 NYCRR Part 500 ก็ตาม คุณควรระมัดระวังข้อมูลทางการเงินของคุณ ใช้รหัสผ่านที่รัดกุมและไม่ซ้ำใครเสมอ เปิดใช้งาน MFA เมื่อเป็นไปได้ และอย่ามอบ PII ให้กับแหล่งที่ไม่รู้จัก ความเข้มงวดของกฎระเบียบเหล่านี้เน้นย้ำถึงความสำคัญของปัญหา ดังนั้นควรระมัดระวัง
รัฐบาลต่างๆ ให้ความสำคัญกับความปลอดภัยทางไซเบอร์มากขึ้น
กฎระเบียบความปลอดภัยทางไซเบอร์ของ NYDFS เป็นหนึ่งในตัวอย่างล่าสุดของรัฐบาลท้องถิ่นที่ออกกฎหมายความปลอดภัยทางไซเบอร์ เมื่อเครื่องมือดิจิทัลกลายเป็นเรื่องธรรมดามากขึ้นในชีวิตประจำวัน กฎเหล่านี้จะเติบโตขึ้น
ผู้บริโภคและธุรกิจต่างๆ ควรรับทราบข้อมูลล่าสุดเกี่ยวกับกฎระเบียบเหล่านี้เพื่อให้แน่ใจว่าเป็นไปตามข้อกำหนด การเปลี่ยนแปลงเหล่านี้อาจดูซับซ้อนในตอนแรก แต่เป็นขั้นตอนที่จำเป็นต่อการรักษาความปลอดภัยที่ดีขึ้น
