DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

Legislazione sulla Sicurezza delle Informazioni

Legislazione sulla Sicurezza delle Informazioni

Con l’aumento del valore delle informazioni, aumenta anche il numero di crimini informatici. Più crimini informatici vengono commessi, più le agenzie di regolamentazione cercano di prevenirli creando nuove leggi e regolamenti ai quali le aziende che archiviano dati sensibili sono obbligate a conformarsi. Qui può trovare i più importanti atti normativi degli Stati Uniti riguardanti la sicurezza delle informazioni.

Sarbanes-Oxley Act (SOX)

Destinatari:  Consigli di amministrazione di società pubbliche, aziende di contabilità pubblica e società di gestione.

Ambito di applicazione: Dopo gli scandali contabili delle corporazioni Enron, Tyco e Worldcom, che hanno portato al crollo del mercato azionario, Sarbanes-Oxley Act (SOX) è stato creato. L’obiettivo è prevenire le frodi contabili a danno degli investitori assicurando che tutti i report sulle attività finanziarie contengano informazioni affidabili che possano essere verificate da revisori indipendenti. L’atto stabilisce standard e regole per i report di audit e comporta una maggiore divulgazione finanziaria. Un agente speciale ispeziona, investiga e garantisce la conformità ai requisiti. La non conformità comporta pene significative.

Payment Card Industry Data Security Standard (PCI DSS)

Destinatari: Qualsiasi azienda che gestisce dati su carte di credito, lo standard è in vigore non solo negli Stati Uniti ma nella maggior parte dei paesi.

Ambito di applicazione: PCI DSS è stato istituito dai principali marchi di carte di pagamento (Visa, MasterCard, American Express, JCB e Discover). È un insieme di requisiti per ridurre le frodi e proteggere le informazioni delle carte di credito dei clienti.

Requisiti principali:

  1. Installare una firewall e configurare il router per proteggere i dati dei titolari di carte.
  2. Le password di sistema predefinite fornite dal venditore devono essere cambiate.
  3. Proteggere i dati dei titolari di carta archiviati. In generale, nessun dato dei titolari di carta dovrebbe mai essere archiviato a meno che non sia essenziale per scopi aziendali.
  4. Crittografare la trasmissione dei dati dei titolari di carte su reti pubbliche aperte. La crittografia è una tecnologia utilizzata per codificare i dati in modo che solo le persone autorizzate possano leggerli.
  5. Il software antivirus deve essere installato e aggiornato regolarmente.
  6. Deve essere installato un software di sicurezza con licenza.
  7. Limitare l’accesso ai dati dei titolari di carte esclusivamente per necessità.
  8. Assegnare un ID univoco a ogni persona con il computer.
  9. Limitare l’accesso fisico ai dati dei titolari di carte.
  10. Tracciare e monitorare tutti gli accessi alle risorse di rete e ai dati dei titolari di carte.
  11. Testare regolarmente i sistemi e i processi di sicurezza.
  12. Costruire un sistema di sicurezza che affronti la sicurezza delle informazioni per tutti i dipendenti.


Health Insurance Portability and Accountability Act (HIPAA)

Destinatari: aziende di assicurazione sanitaria, fornitori di assistenza sanitaria e centri per la deroga sanitaria.

Ambito di applicazione: HIPAA è una legislazione degli Stati Uniti che impone disposizioni sulla privacy e sicurezza per le informazioni mediche. Secondo l’atto, i soggetti devono proteggere le informazioni sanitarie (ePHI) dall’essere usate o esposte da persone non autorizzate.

Requisiti principali e disposizioni:

  1. I fornitori che operano elettronicamente sono tenuti a utilizzare le stesse transazioni sanitarie, set di codici e identificatori.
  2. È prevista una protezione federale per le informazioni sanitarie personali. La divulgazione delle informazioni sanitarie personali è consentita solo se necessaria per la cura del paziente o per altri scopi importanti.
  3. L’atto specifica le salvaguardie amministrative, fisiche e tecniche per garantire l’integrità, la disponibilità e la riservatezza delle informazioni sanitarie elettroniche protette per le entità interessate.
  4. I fornitori di assistenza sanitaria, i piani sanitari e i datori di lavoro sono tenuti ad avere numeri nazionali standard che li identificano nelle transazioni standard.
 

The Gramm-Leach-Bliley Act (GLB)

Destinatari: Istituzioni finanziarie (banche, società di borsa, compagnie di assicurazione); aziende che forniscono servizi finanziari, come prestiti, mediazione, trasferimento di denaro, preparazione delle dichiarazioni dei redditi, consulenza finanziaria, ecc.

Ambito di applicazione: GBL Act è una legge federale emanata per proteggere le informazioni finanziarie personali dei consumatori detenute da istituzioni finanziarie. Secondo il componente sulla privacy, le istituzioni finanziarie sono obbligate a fornire ai propri clienti un avviso annuale delle loro pratiche di privacy e a dare l’opportunità di scegliere di non condividere tali informazioni. La Safeguards Rule richiede che le istituzioni finanziarie stabiliscano un sistema di sicurezza completo per la protezione della riservatezza e dell’integrità dei dati finanziari privati nei loro registri.

Electronic Fund Transfer Act, Regulation E

DestinatariIstituzioni finanziarie che tengono conti dei consumatori o forniscono servizi EFT; beneficiari e commercianti.

Ambito di applicazione: Questo atto protegge i clienti che effettuano trasferimenti di fondi elettronici da errori e frodi. Stabilisce i diritti, le responsabilità e le responsabilità di base delle istituzioni finanziarie che offrono servizi EFT e dei loro consumatori. Gli EFT includono trasferimenti presso terminali di punto vendita nei negozi, trasferimenti ATM, servizi di pagamento delle bollette telefoniche e trasferimenti preautorizzati da o verso il conto di un consumatore.

Federal Information Security Management Act (FISMA)

Destinatari: agenzie federali

Ambito di applicazione: Questo atto tratta questioni di sicurezza nazionale e obbliga le agenzie federali a sviluppare un metodo per proteggere i sistemi informativi.

Requisiti principali/disposizioni:  
  1. Le informazioni che devono essere protette devono essere categorizzate.
  2. Procedure periodiche di valutazione del rischio.
  3. Monitoraggio continuo dei controlli di sicurezza e valutazione della loro efficacia.
  4. Selezionare i controlli di base minimi.
  5. Formazione sulla consapevolezza della sicurezza per il personale.
  6. Adottare misure per rilevare, segnalare e rispondere agli incidenti di sicurezza.
  7. Piani subordinati per la sicurezza delle informazioni delle reti e delle strutture.
 

Standard di North American Electric Reliability Corp. (NERC)

Destinatari: sistemi di servizi elettrici nordamericani.

Ambito di applicazione: l’attuale insieme di standard NERC è stato sviluppato per stabilire standard di affidabilità per il sistema di potenza principale del Nord America e per proteggere le infrastrutture critiche dell’industria da minacce fisiche e informatiche.

21 CFR Parte 11 del Codice dei Regolamenti Federali Titolo 21

Destinatari: tutte le industrie regolamentate dalla FDA le cui attività regolamentate prevedono l’utilizzo di computer, sia negli Stati Uniti che al di fuori del paese.

Ambito di applicazione: Parte 11, come viene comunemente chiamata, impone linee guida sui registri elettronici e sulle firme elettroniche con lo scopo di garantire la loro affidabilità e credibilità. È stata emessa nel 1997 e viene monitorata dalla U.S. Food and Drug Administration.

Direttiva Europea sulla Protezione dei Dati

Destinatari: organizzazioni europee e aziende non europee a cui vengono esportati i dati.

Ambito di applicazione: la Direttiva Europea sulla Protezione dei Dati stabilisce limiti rigidi sulla raccolta e l’uso dei dati personali e obbliga ogni stato membro a costituire un organismo nazionale indipendente responsabile della protezione dei dati.

Safe Harbor Act

Destinatari: aziende statunitensi che operano in Europa.

Ambito di applicazione: il Safe Harbor Act proibisce il trasferimento di dati personali verso nazioni non appartenenti all’Unione Europea se non soddisfano lo standard di protezione della privacy stabilito dalla Direttiva Europea sulla Protezione dei Dati. È stato emanato per colmare le differenze di approccio alla privacy tra Europa e Stati Uniti, permettendo alle aziende statunitensi di operare a livello transoceanico senza affrontare interruzioni o procedimenti giudiziari da parte delle autorità europee.

Legga di più su come DataSunrise aiuta a conformarsi ai requisiti normativi.

Successivo

Scoperta dei Dati Sensibili per Rilevare e Gestire i Dati Confidenziali

Scoperta dei Dati Sensibili per Rilevare e Gestire i Dati Confidenziali

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Vendite:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]