DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Législation sur la Sécurité de l’Information

Législation sur la Sécurité de l’Information

À mesure que la valeur de l’information augmente, le nombre de cybercrimes augmente également. Plus les cybercrimes sont nombreux, plus les agences de réglementation tentent de les prévenir en créant de nouvelles lois et réglementations auxquelles les entreprises stockant des données sensibles sont obligées de se conformer. Ici, vous trouverez les principaux actes réglementaires américains concernant la sécurité de l’information.

Loi Sarbanes-Oxley (SOX)

À qui cela s’adresse: Conseils d’administration de sociétés cotées en bourse, comptabilité publique et cabinets de gestion.

Ce que cela couvre: Après les scandales comptables des corporations Enron, Tyco et Worldcom, qui ont conduit à l’effondrement des marchés boursiers, la loi Sarbanes-Oxley (SOX) a été créée. Elle vise à empêcher les investisseurs des fraudes comptables en s’assurant que tous les rapports sur les activités financières contiennent des informations fiables qui peuvent être vérifiées par des auditeurs indépendants. La loi fixe des normes et des règles pour les rapports d’audit et implique une plus grande divulgation financière. Un agent spécial inspecte, enquête et applique la conformité aux exigences. Le non-respect entraîne des sanctions importantes.

Norme de Sécurité des Données de l’Industrie des Cartes de Paiement (PCI DSS)

À qui cela s’adresse: Toute entreprise traitant des données de cartes de crédit, la norme est appliquée non seulement aux États-Unis mais dans la plupart des pays.

Ce que cela couvre: PCI DSS a été instituée par les principales marques de cartes de paiement (Visa, MasterCard, American Express, JCB et Discover). Il s’agit d’un ensemble d’exigences pour réduire la fraude et protéger les informations de carte de crédit des clients.

Exigences principales:

  1. Installer un pare-feu et configurer le routeur pour protéger les données des titulaires de carte.
  2. Les mots de passe par défaut fournis par le vendeur doivent être changés.
  3. Protéger les données des titulaires de carte stockées. En général, aucune donnée de titulaire de carte ne doit être stockée à moins que ce ne soit essentiel aux fins de l’entreprise.
  4. Chiffrer la transmission des données des titulaires de carte sur des réseaux publics ouverts. Le cryptage est une technologie utilisée pour encoder les données de manière à ce que seule une personne autorisée puisse les lire.
  5. Un logiciel antivirus doit être installé et régulièrement mis à jour.
  6. Un logiciel de sécurité licencié doit être installé.
  7. Restreindre l’accès aux données des titulaires de carte en fonction des besoins de connaissance.
  8. Attribuer un identifiant unique à chaque personne utilisant l’ordinateur.
  9. Restreindre l’accès physique aux données des titulaires de carte.
  10. Surveiller et contrôler tous les accès aux ressources du réseau et aux données des titulaires de carte.
  11. Tester régulièrement les systèmes et les processus de sécurité.
  12. Mettre en place un système de sécurité traitant de la sécurité de l’information pour tous les employés.


Loi sur la Portabilité et la Responsabilité des Assurances Maladie (HIPAA)

À qui cela s’adresse: Compagnies d’assurance maladie, prestataires de soins de santé et centres de traitement médical.

Ce que cela couvre: HIPAA est une législation américaine qui impose des dispositions en matière de confidentialité et de sécurité concernant les informations médicales. Selon la loi, les sujets doivent protéger les informations de santé (ePHI) contre une utilisation abusive ou une exposition par des personnes non autorisées.

Exigences et dispositions principales:

  1. Les prestataires qui font des affaires électroniquement sont tenus d’utiliser les mêmes transactions de soins de santé, ensembles de codes et identifiants.
  2. Une protection fédérale pour les informations personnelles de santé est fournie. La divulgation des informations personnelles de santé n’est autorisée que si nécessaire pour les soins aux patients ou d’autres fins importantes.
  3. La loi spécifie des mesures de sécurité administratives, physiques et techniques pour les entités concernées afin d’assurer l’intégrité, la disponibilité et la confidentialité des informations de santé protégées électroniques.
  4. Les prestataires de soins de santé, les régimes de santé et les employeurs sont tenus d’avoir des numéros nationaux standard qui les identifient sur les transactions standard.
 

Loi Gramm-Leach-Bliley (GLB)

À qui cela s’adresse: Institutions financières (banques, sociétés cotées en bourse, compagnies d’assurance); entreprises fournissant des services financiers, tels que prêts, courtage, transfert d’argent, préparation de déclarations fiscales, conseil financier, etc.

Ce que cela couvre: Loi GLB est une loi fédérale promulguée pour protéger les informations financières personnelles des consommateurs détenues par les institutions financières. Selon la composante de confidentialité, les institutions financières sont tenues de fournir à leurs clients un avis annuel de leurs pratiques de confidentialité et de donner la possibilité de ne pas partager ces informations. La règle des sauvegardes exige que les institutions financières établissent un système de sécurité complet pour la confidentialité et la protection de l’intégrité des données financières privées dans leurs dossiers.

Loi sur les Transferts de Fonds Électroniques, Règlement E

À qui cela s’adresseInstitutions financières détenant des comptes de consommateurs ou fournissant des services de Virement Électronique de Fonds (EFT); bénéficiaires et commerçants.

Ce que cela couvre: Cette loi protège les clients engageant des transferts de fonds électroniques contre les erreurs et fraudes. Elle établit les droits, responsabilités et responsabilités de base des institutions financières offrant des services de Virement Électronique de Fonds et de leurs consommateurs. Les EFT comprennent les transferts au point de vente dans les magasins, les transferts par guichet automatique, les services de paiement de factures par téléphone et les virements préautorisés vers ou depuis le compte d’un consommateur.

Loi Fédérale sur la Gestion de la Sécurité de l’Information (FISMA)

À qui cela s’adresse: agences fédérales

Ce que cela couvre: Cette loi traite des questions de sécurité nationale et oblige les agences fédérales à développer une méthode de protection des systèmes d’information.

Exigences/dispositions principales:  
  1. Les informations à protéger doivent être catégorisées
  2. Procédures périodiques d’évaluation des risques
  3. Surveillance continue des contrôles de sécurité et évaluation de leur efficacité
  4. Sélection des contrôles de base minimaux
  5. Formation à la sensibilisation à la sécurité pour le personnel
  6. Prendre des mesures pour détecter, signaler et répondre aux incidents de sécurité
  7. Plans subordonnés pour la sécurité des informations des réseaux et des installations
 

Normes de la North American Electric Reliability Corp. (NERC)

À qui cela s’adresseSystèmes de services publics d’électricité nord-américains.

Ce que cela couvreLe jeu actuel de normes NERC a été développé pour établir des normes de fiabilité pour le système d’alimentation en vrac de l’Amérique du Nord, ainsi que pour protéger l’infrastructure critique de l’industrie contre les menaces physiques et cybernétiques.

Titre 21 du Code of Federal Regulations (21 CFR Part 11) Registres Électroniques

À qui cela s’adresseToutes les industries réglementées par la FDA dont les activités stipulent l’utilisation des ordinateurs, tant aux États-Unis qu’à l’extérieur du pays.

Ce que cela couvre: La Partie 11, comme on l’appelle communément, impose des directives sur les registres électroniques et les signatures électroniques dans le but de maintenir leur fiabilité et leur authenticité. Elle a été émise en 1997 et est surveillée par la Food and Drug Administration des États-Unis.

Directive sur la Protection des Données de l’Union Européenne

À qui cela s’adresseOrganisations européennes et entreprises non européennes auxquelles des données sont exportées.

Ce que cela couvreLa Directive sur la Protection des Données de l’Union Européenne fixe des limites strictes à la collecte et à l’utilisation des données personnelles et oblige chaque État membre à mettre en place un organisme national indépendant responsable de la protection des données.

Loi Safe Harbor

À qui cela s’adresseEntreprises américaines ayant des activités en Europe.

Ce que cela couvreLa loi Safe Harbor interdit le transfert de données personnelles vers des pays non membres de l’Union Européenne s’ils ne respectent pas les normes de protection de la vie privée établies par la Directive sur la Protection des Données de l’Union Européenne. Elle a été promulguée afin de combler les différentes approches de la vie privée en Europe et aux États-Unis, permettant aux entreprises américaines de mener des opérations transatlantiques sans subir d’interruptions ni de poursuites par les autorités européennes.

En savoir plus sur la façon dont DataSunrise aide à se conformer aux exigences réglementaires.

Suivant

Découverte de Données Sensibles pour Détecter et Gérer les Données Confidentielles

Découverte de Données Sensibles pour Détecter et Gérer les Données Confidentielles

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]