发布日期:2024-12-11 浏览次数:
纽约州金融服务部 (NYDFS) 网络安全要求或 23 NYCRR 第 500 部分法规要求受监管机构实施、维护并每年证明其已实施网络安全计划以保护其信息系统和客户数据的完整性。
该法规促进了对客户信息以及受监管实体的信息技术系统的保护。该法规要求每家公司评估其特定风险状况,并设计一个以稳健方式应对其风险的计划。高级管理层必须认真对待这个问题,负责组织的网络安全计划,并提交年度认证以确认遵守这些法规。HIPAA 规则和条例列出了合规所需的三种安全保障措施:
任何需要纽约州金融服务部颁发执照、注册或特许的机构均受纽约州金融服务部监管。受监管实体包括州特许银行、获准在纽约州经营的外国银行、持牌贷方、私人银行家、储蓄和贷款协会、抵押贷款公司、保险公司和其他金融服务提供商。
纽约州金融服务公司网络安全要求的初始阶段于 2017 年 3 月 1 日生效。然而,全部要求直到两年后,即 2019 年 3 月 1 日才开始实施。
根据《纽约银行法》,纽约州金融服务部对不遵守纽约州金融服务部第 500 条规定的行为处以每天 2,500 美元的罚款。如果纽约州金融服务部主管认定违规行为“惯常”,罚款可能会增加到每天 15,000 美元。如果主管认定违规行为是“明知故犯”,罚款将增加到每天 75,000 美元。
最近的 2022 年执法行动处以了 450 万美元至 500 万美元的罚款。
我们提供的解决方案可帮助金融机构和第三方 ICT 提供商遵守 DORA,方法是简化合规性并自动化安全,从而减轻安全和合规团队的负担。我们帮助满足法规第 8、9、10、11、19 和 28 条规定的网络安全风险管理基本要求,涵盖 ICT 风险管理和治理、事件报告和 ICT 第三方风险管理。
我们在网络安全的三个关键领域提供全面的网络安全解决方案:应用程序安全、数据安全以及身份和访问管理。
应用程序安全
在云端、本地或混合模式下大规模保护应用程序和 API。我们市场领先的产品套件包括 Web 应用程序防火墙 (WAF)、针对分布式拒绝服务 (DDoS) 和恶意 BOT 攻击的保护、API 安全、安全的内容分发网络 (CDN) 和运行时应用程序自我保护 (RASP)。
数据安全
使用加密、令牌化和密钥管理,发现和分类混合 IT 中的敏感数据,并在任何地方自动保护这些数据,无论是静态、动态还是使用中。Thales解决方案还可以识别、评估和确定潜在风险的优先级,以进行准确的风险评估,以及识别异常行为,并监控活动以验证合规性,从而使组织能够确定将精力投入到哪些方面的优先顺序。
身份和访问管理
为客户、员工和合作伙伴提供无缝、安全且值得信赖的应用程序和数字服务访问。我们的解决方案根据内部和外部用户的角色和环境限制其访问权限,并采用精细的访问策略和多重身份验证,帮助确保在正确的时间向正确的用户授予对正确资源的访问权限。
Thales如何提供帮助:
使用 Web 应用程序防火墙检测和预防网络威胁。
监控 ICT 网络并防范 DDoS 攻击和坏机器人。
监控 API 活动、跟踪使用情况、检测异常并识别潜在的未经授权的访问尝试。
对混合 IT 上的结构化和非结构化数据进行数据活动监控。
生成所有系统所有访问事件的审计线索和报告,将日志传输到 SIEM。
解决方案:
应用程序安全
Web 应用程序防火墙
DDoS 保护
机器人保护
API 保护
数据安全
数据活动监控
Thales如何提供帮助:
根据角色和上下文使用策略限制对系统和数据的访问。
根据风险评分应用上下文安全措施。
在单一窗口中集中访问多个混合环境的访问策略和实施。
利用智能卡实现对敏感设施的物理访问。
为客户提供对公司系统中信息的安全访问。
解决方案:
身份和访问管理
员工访问管理
智能卡
数据安全
数据风险分析
Thales 如何提供帮助:
保护应用程序免受运行时攻击,同时与 CI/CD 管道中的工具集成。
使用 Web 应用程序防火墙检测和预防网络威胁,确保无缝操作和安心。
保护关键网络资产免受 DDoS 攻击和恶意机器人的侵害,同时继续允许合法流量。
在混合和多云应用程序中部署数据保护控制以保护 DevSecOps。
保护和自动化跨 DevOps 工具对机密的访问。
通过在线市场轻松访问数据安全解决方案。
解决方案:
Thales如何提供帮助:
发现并分类所有公共、私有和影子 API 的潜在风险。
识别混合 IT 中存在风险的结构化和非结构化敏感数据。
识别当前的合规性状态并记录差距。
解决方案:
应用程序安全
API 安全
数据安全
数据发现和分类
数据风险分析
漏洞管理
Thales如何提供帮助:
通过维护对保护云中托管数据的加密密钥的本地控制来降低第三方风险。
确保云提供商管理员和您的组织之间的角色完全分离,限制对敏感数据的访问。
监控和警告异常以检测和防止不必要的活动破坏供应链活动。
实现与供应商、合作伙伴或任何第三方用户的关系管理;明确授予访问权限。
通过使用基于关系的细粒度授权来最小化特权。
解决方案:
数据安全
透明加密
数据活动监控
用户权限管理
发现和分类
身份和访问管理
第三方访问控制
委托用户管理
外部授权
Thales如何提供帮助:
使用最广泛的硬件和软件方法实现多因素身份验证 (MFA)。
根据数据/应用程序的敏感度构建和部署自适应身份验证策略。
防范网络钓鱼和中间人攻击。
解决方案:
身份和访问管理
多因素身份验证
基于风险的身份验证
PKI 和 FIDO 身份验证器
Thales如何提供帮助:
在混合 IT 中查找结构化和非结构化受监管数据并确定补救优先级。
从 CipherTrust Manager 中删除密钥可以确保安全删除,以数字方式粉碎数据的所有实例。
解决方案:
数据安全
数据发现和分类
透明加密
Thales如何提供帮助:
跨云和本地系统的结构化和非结构化数据的数据活动监控。
生成所有系统的所有访问事件的审计跟踪和报告,将日志传输到外部 SIEM 系统。
解决方案:
数据安全
数据活动监控
身份和访问管理
员工访问管理
Thales如何提供帮助:
加密本地、跨云以及大数据或容器环境中的静态数据。
在 FIPS 140-2 Level 3环境中保护加密密钥。
对数据库中的敏感信息进行假名化。
使用高速加密保护移动数据。
利用机密计算保护正在使用的数据。
获得完整的敏感数据活动可见性,跟踪谁有访问权限,审计他们正在做什么并记录下来。
专为后量子升级而设计的安全产品,以保持加密敏捷性。
解决方案:
数据保护
透明加密
Tokenization(令牌化/标记化/数据脱敏)
密钥管理
机密管理
HSM(硬件安全模块/加密机)
高速加密
数据活动监控
数据治理
作为Thales的合作伙伴,揽阁信息与您一同解决合规性要求的各类问题,欢迎联系揽阁信息获取更多信息。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
