DataSunrise Logra el Estado de Competencia en AWS DevOps en AWS DevSecOps y Monitoreo, Registro, Rendimiento

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

Legislación de Seguridad de la Información

Legislación de Seguridad de la Información

A medida que aumenta el valor de la información, el número de delitos cibernéticos también se incrementa. Cuantos más delitos cibernéticos se cometan, más agencias regulatorias intentarán prevenirlos creando nuevas leyes y regulaciones que las empresas que almacenan datos sensibles están obligadas a cumplir. Aquí puedes encontrar los actos regulatorios más importantes de EE. UU. en materia de seguridad de la información.

Ley Sarbanes-Oxley (SOX)

Para quién es: Consejos de administración de empresas públicas, firmas de contabilidad pública y de gestión.

Qué abarca: Tras los escándalos contables en las corporaciones Enron, Tyco y Worldcom, que llevaron al colapso del mercado bursátil, se creó la Ley Sarbanes-Oxley (SOX). Su objetivo es prevenir el fraude contable que afecta a los inversores, asegurando que todos los informes sobre actividades financieras contengan información fiable que pueda ser verificada por auditores independientes. La ley establece normas y reglas para los informes de auditoría e implica mayores divulgaciones financieras. Un agente especial inspecciona, investiga y asegura el cumplimiento de los requisitos. El incumplimiento conlleva sanciones significativas.

Payment Card Industry Data Security Standard (PCI DSS)

Para quién es: Cualquier empresa que maneje datos de tarjetas de crédito; el estándar está vigente no solo en EE. UU. sino en la mayoría de países.

Qué abarca: PCI DSS fue instituido por las principales marcas de tarjetas de pago (Visa, MasterCard, American Express, JCB y Discover). Es un conjunto de requisitos para reducir el fraude y proteger la información de las tarjetas de crédito de los clientes.

Requisitos principales:

  1. Instalar un firewall y configurar el router para proteger los datos de los titulares de tarjetas.
  2. Las contraseñas por defecto del sistema suministradas por el proveedor deben ser cambiadas.
  3. Proteger los datos almacenados de los titulares de tarjetas. En general, jamás se deben almacenar datos de titulares de tarjetas a menos que sea esencial para fines comerciales.
  4. Cifrar la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas. El cifrado es una tecnología utilizada para codificar datos de modo que solo una persona autorizada pueda leerlos.
  5. Se debe instalar un software antivirus y actualizarlo regularmente.
  6. Se debe instalar un software de seguridad con licencia.
  7. Restringir el acceso a los datos de los titulares de tarjetas mediante el principio de necesidad de saber.
  8. Asignar una identificación única a cada persona que acceda al equipo.
  9. Restringir el acceso físico a los datos de los titulares de tarjetas.
  10. Rastrear y monitorear todo acceso a los recursos de la red y a los datos de los titulares de tarjetas.
  11. Probar regularmente los sistemas y procesos de seguridad.
  12. Construir un sistema de seguridad que aborde la seguridad de la información para todos los empleados.


Health Insurance Portability and Accountability Act (HIPAA)

Para quién es: Compañías de seguros de salud, proveedores de atención médica y centros de compensación médica.

Qué abarca: HIPAA es una legislación de Estados Unidos que exige disposiciones de privacidad y seguridad de los datos para la información médica. Según la ley, los sujetos deben proteger la información de salud (ePHI) para evitar que sea mal utilizada o expuesta a personas no autorizadas.

 Requisitos y disposiciones principales:

  1. Los proveedores que realizan transacciones electrónicas deben utilizar las mismas transacciones de atención médica, conjuntos de códigos e identificadores.
  2. Se proporciona protección federal para la información personal de salud. La divulgación de información personal de salud solo se permite si es requerida para la atención del paciente u otros fines importantes.
  3. La ley especifica salvaguardas administrativas, físicas y técnicas para las entidades afectadas, garantizando la integridad, disponibilidad y confidencialidad de la información electrónica protegida de salud.
  4. Se requiere que los proveedores de atención médica, planes de salud y empleadores tengan números nacionales estándar que los identifiquen en transacciones estándar.
 

La Ley Gramm-Leach-Bliley (GLB)

Para quién es: Instituciones financieras (bancos, compañías de bolsa, compañías de seguros); empresas que brindan servicios financieros, como préstamos, corretaje, transferencia de dinero, preparación de declaraciones de impuestos, asesoramiento financiero, etc.

Qué abarca: La Ley GLB es una ley federal promulgada para proteger la información financiera personal de los consumidores que poseen las instituciones financieras. Según el componente de privacidad, las instituciones financieras están obligadas a proporcionar a sus clientes un aviso anual de sus prácticas de privacidad y ofrecer la oportunidad de optar por no compartir esa información. La Regla de Salvaguardias exige que las instituciones financieras establezcan un sistema de seguridad integral para la protección de la confidencialidad e integridad de los datos financieros privados en sus registros.

Electronic Fund Transfer Act, Regulation E

Para quién esInstituciones financieras que poseen cuentas de consumidores o que proveen servicios de transferencias electrónicas de fondos; beneficiarios y comerciantes.

Qué abarca: Esta Ley protege a los clientes que realizan transferencias electrónicas de fondos de errores y fraudes. Establece derechos básicos, responsabilidades y obligaciones de las instituciones financieras que ofrecen servicios de EFT y de sus consumidores. Las EFT incluyen transferencias mediante terminales de punto de venta en tiendas, transferencias en cajeros automáticos, servicios de pago de facturas por teléfono y transferencias preautorizadas hacia o desde la cuenta de un consumidor.

Federal Information Security Management Act (FISMA)

Para quién es: Agencias federales

Qué abarca: Esta Ley se ocupa de cuestiones de seguridad nacional y obliga a las agencias federales a desarrollar un método para proteger los sistemas de información.

Requisitos/disposiciones principales:  
  1. La información que necesita ser protegida debe ser categorizada.
  2. Procedimientos periódicos de evaluación de riesgos.
  3. Monitoreo continuo de los controles de seguridad y evaluación de su efectividad.
  4. Selección de controles base mínimos.
  5. Capacitación en concienciación de seguridad para el personal.
  6. Tomar medidas para detectar, reportar y responder a incidentes de seguridad.
  7. Planes subsidiarios para la seguridad de la información en redes e instalaciones.
 

Normas de la North American Electric Reliability Corp. (NERC)

Para quién esSistemas de servicios eléctricos de América del Norte.

Qué abarcaEl conjunto actual de normas NERC fue desarrollado para establecer estándares de confiabilidad para el sistema eléctrico mayorista de América del Norte, además de proteger la infraestructura crítica de la industria frente a amenazas físicas y cibernéticas.

Título 21 del Código de Regulaciones Federales (21 CFR Parte 11) Registros Electrónicos

Para quién esTodas las industrias reguladas por la FDA cuyas actividades requieren el uso de computadoras, tanto en EE. UU. como fuera del país.

Qué abarca: Parte 11, como se le conoce comúnmente, impone directrices sobre registros electrónicos y firmas electrónicas con el propósito de garantizar su fiabilidad y credibilidad. Fue emitido en 1997 y es supervisado por la Administración de Alimentos y Medicamentos de EE. UU.

Directiva de Protección de Datos de la Unión Europea

Para quién esOrganizaciones europeas y empresas no europeas a las que se exportan datos.

Qué abarcaLa Directiva de Protección de Datos de la Unión Europea establece límites estrictos en la recopilación y uso de datos personales y obliga a cada estado miembro a establecer un organismo nacional independiente encargado de la protección de datos.

Safe Harbor Act

Para quién esEmpresas de EE. UU. que hacen negocios en Europa.

Qué abarcaLa Safe Harbor Act prohíbe la transferencia de datos personales a países fuera de la Unión Europea si éstos no cumplen con el estándar de protección de la privacidad establecido por la Directiva de Protección de Datos de la Unión Europea. Fue promulgada para tender un puente entre los diferentes enfoques de privacidad de Europa y EE. UU., permitiendo que las empresas estadounidenses realicen operaciones transatlánticas sin enfrentar interrupciones o procesos judiciales por parte de las autoridades europeas.

Leer más sobre cómo DataSunrise ayuda a cumplir los requisitos regulatorios.

Siguiente

Descubrimiento de Datos Sensibles para Detectar y Gestionar Datos Confidenciales

Descubrimiento de Datos Sensibles para Detectar y Gestionar Datos Confidenciales

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Ventas:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]