DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

Legislación de Seguridad de la Información

Legislación de Seguridad de la Información

A medida que aumenta el valor de la información, también aumenta el número de delitos cibernéticos. Cuantos más delitos cibernéticos se cometen, más los organismos reguladores intentan prevenirlos creando nuevas leyes y regulaciones con las cuales las empresas que almacenan datos sensibles están obligadas a cumplir. Aquí puede encontrar los actos regulatorios más importantes de EE. UU. con respecto a la seguridad de la información.

Acta Sarbanes-Oxley (SOX)

Quiénes están obligados: Juntas de empresas públicas, firmas de contabilidad pública y de gestión.

Qué cubre: Después de los escándalos contables en las corporaciones Enron, Tyco y Worldcom, que llevaron al colapso del mercado de valores, se creó la Ley Sarbanes-Oxley (SOX). Está destinada a prevenir el fraude contable protegiendo a los inversores al asegurar que todos los informes sobre actividades financieras contengan información confiable que pueda ser verificada por auditores independientes. La ley establece estándares y reglas para los informes de auditoría e implica mayores divulgaciones financieras. Un agente especial inspecciona, investiga y hace cumplir el cumplimiento de los requisitos. El incumplimiento conlleva sanciones significativas.

Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)

Quiénes están obligados: Cualquier empresa que maneje datos de tarjetas de crédito, el estándar está en vigor no solo en los EE. UU., sino en la mayoría de los países.

Qué cubre: PCI DSS fue instituido por las principales marcas de tarjetas de pago (Visa, MasterCard, American Express, JCB y Discover). Es un conjunto de requisitos para reducir el fraude y proteger la información de las tarjetas de crédito de los clientes.

Principales requisitos:

  1. Instalar un cortafuegos y configuración de enrutador para proteger los datos del titular de la tarjeta.
  2. Las contraseñas predeterminadas del sistema proporcionadas por el proveedor deben ser cambiadas.
  3. Proteger los datos almacenados del titular de la tarjeta. En general, no debe almacenarse ningún dato del titular de la tarjeta a menos que sea esencial para fines comerciales.
  4. Cifrar la transmisión de los datos del titular de la tarjeta a través de redes abiertas y públicas. La encriptación es una tecnología utilizada para codificar datos de manera que solo las personas autorizadas puedan leerlos.
  5. El software antivirus debe ser instalado y actualizado regularmente.
  6. El software de seguridad con licencia debe ser instalado.
  7. Restringir el acceso a los datos del titular de la tarjeta por necesidad de saber.
  8. Asignar una identificación única a cada persona con la computadora.
  9. Restringir el acceso físico a los datos del titular de la tarjeta.
  10. Rastrear y monitorear todo el acceso a los recursos de la red y los datos del titular de la tarjeta.
  11. Probar regularmente los sistemas y procesos de seguridad.
  12. Construir un sistema de seguridad que aborde la seguridad de la información para todos los empleados.


Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA)

Quiénes están obligados: Empresas de seguros de salud, proveedores de atención médica y cámaras de compensación médica.

Qué cubre: HIPAA es la legislación de los Estados Unidos que requiere disposiciones de privacidad y seguridad de datos para la información médica. Según la ley, los sujetos deben proteger la información de salud (ePHI) del uso indebido o la exposición por individuos no autorizados.

 Principales requisitos y disposiciones:

  1. Los proveedores que realicen negocios electrónicamente están obligados a usar las mismas transacciones de atención médica, conjuntos de códigos e identificadores.
  2. Se proporciona protección federal para la información de salud personal. La divulgación de información de salud personal se permite solo si es necesario para el cuidado del paciente u otros fines importantes.
  3. La ley especifica salvaguardias administrativas, físicas y técnicas para las entidades afectadas para asegurar la integridad, disponibilidad y confidencialidad de la información de salud electrónica protegida.
  4. Se requiere que los proveedores de atención médica, los planes de salud y los empleadores tengan números nacionales estándar que los identifiquen en transacciones estándar.
 

Ley Gramm-Leach-Bliley (GLBA)

Quiénes están obligados: Instituciones financieras (bancos, empresas de bolsa, compañías de seguros); empresas que prestan servicios financieros, como préstamos, corretaje, transferencia de dinero, preparación de declaraciones de impuestos, asesoramiento financiero, etc.

Qué cubre: La Ley GLB es una ley federal promulgada para proteger la información financiera personal de los consumidores contenida en las instituciones financieras. Según el componente de privacidad, las instituciones financieras están obligadas a proporcionar a sus clientes un aviso anual de sus prácticas de privacidad y dar la oportunidad de optar por no compartir esa información. La regla de Salvaguardias requiere que las instituciones financieras establezcan un sistema de seguridad integral para la protección de la confidencialidad e integridad de los datos financieros privados en sus registros.

Ley de Transferencia Electrónica de Fondos, Regulación E

Quiénes están obligadosInstituciones financieras que mantienen cuentas de consumidores o que proporcionan servicios de transferencia electrónica de fondos (EFT); beneficiarios y comerciantes.

Qué cubre: Esta Ley protege a los clientes que realizan transferencias electrónicas de fondos contra errores y fraudes. Establece los derechos, responsabilidades y responsabilidades básicas de las instituciones financieras que brindan servicios de EFT y sus consumidores. Las EFT incluyen transferencias en terminales de punto de venta en tiendas, transferencias en cajeros automáticos, servicios de pago de facturas por teléfono y transferencias preautorizadas desde o hacia la cuenta de un consumidor.

Ley Federal de Gestión de la Seguridad de la Información (FISMA)

Quiénes están obligados: agencias federales

Qué cubre: Esta Ley trata asuntos de seguridad nacional y obliga a las agencias federales a desarrollar un método para proteger los sistemas de información.

Principales requisitos/disposiciones:  
  1. La información que necesita ser protegida debe ser categorizada
  2. Procedimientos periódicos de evaluación de riesgos
  3. Monitoreo continuo de los controles de seguridad y evaluación de su efectividad
  4. Seleccionar controles base mínimos
  5. Capacitación en conciencia de seguridad para el personal
  6. Tomar medidas para detectar, informar y responder a incidentes de seguridad
  7. Planes subordinados para la seguridad de la información de redes e instalaciones
 

Normas de la Corporación de Confiabilidad Eléctrica de América del Norte (NERC)

Quiénes están obligadosSistemas de servicios públicos de electricidad de América del Norte.

Qué cubreEl conjunto actual de normas NERC fue desarrollado para establecer estándares de confiabilidad para el sistema de energía a granel de América del Norte, así como para proteger la infraestructura crítica de la industria contra amenazas físicas y cibernéticas.

Título 21 del Código de Regulaciones Federales (21 CFR Parte 11) Registros Electrónicos

Quiénes están obligadosTodas las industrias reguladas por la FDA cuyas actividades reguladas estipulen el uso de computadoras, tanto en los EE. UU. como fuera del país.

Qué cubre: Parte 11, como se le llama comúnmente, impone directrices sobre registros electrónicos y firmas electrónicas con el propósito de mantener su confiabilidad y confianza. Fue emitido en 1997 y es monitoreado por la Administración de Alimentos y Medicamentos de los EE. UU.

Directiva de Protección de Datos de la Unión Europea

Quiénes están obligadosOrganizaciones europeas y empresas no europeas a las que se exportan datos.

Qué cubreLa Directiva de Protección de Datos de la Unión Europea establece límites estrictos sobre la recopilación y el uso de datos personales y obliga a cada estado miembro a establecer un organismo nacional independiente responsable de la protección de datos.

Ley de Puerto Seguro

Quiénes están obligadosEmpresas estadounidenses que tienen negocios en Europa.

Qué cubreLa Ley de Puerto Seguro prohíbe la transferencia de datos personales a naciones fuera de la Unión Europea si no cumplen con el estándar de protección de privacidad establecido por la Directiva de Protección de Datos de la Unión Europea. Fue promulgada para cerrar la brecha entre los diferentes enfoques de privacidad de Europa y los EE. UU., permitiendo que las empresas estadounidenses participen en operaciones transatlánticas sin enfrentar interrupciones o enjuiciamientos por parte de las autoridades europeas.

Lea más sobre cómo DataSunrise ayuda a cumplir los requisitos regulatorios.

Siguiente

Descubrimiento de Datos Sensibles para Detectar y Gestionar Datos Confidenciales

Descubrimiento de Datos Sensibles para Detectar y Gestionar Datos Confidenciales

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Ventas:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]