DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Législation sur la Sécurité de l’Information

Législation sur la Sécurité de l’Information

À mesure que la valeur de l’information augmente, le nombre de cybercrimes augmente également. Plus il y a de cybercrimes, plus les agences de régulation cherchent à les prévenir en créant de nouvelles lois et réglementations auxquelles les entreprises stockant des données sensibles sont tenues de se conformer. Ici, vous pouvez trouver les principales lois réglementaires américaines concernant la sécurité de l’information.

Loi Sarbanes-Oxley (SOX)

À qui elle s’adresse : Conseils d’administration des entreprises publiques, cabinets d’expertise comptable et firmes de gestion.

Ce qu’elle couvre : Après les scandales comptables chez Enron, Tyco et Worldcom, qui ont conduit à l’effondrement du marché boursier, la Loi Sarbanes-Oxley (SOX) a été créée. Elle vise à empêcher la fraude comptable à l’encontre des investisseurs en garantissant que tous les rapports sur les activités financières contiennent des informations fiables pouvant être vérifiées par des auditeurs indépendants. La loi établit des normes et des règles pour les rapports d’audit et implique une transparence financière accrue. Un agent spécial inspecte, enquête et veille au respect des exigences. Le non-respect s’accompagne de pénalités importantes.

Norme de Sécurité des Données de l’Industrie des Cartes de Paiement (PCI DSS)

À qui elle s’adresse : Toute entreprise manipulant des données de carte de crédit, la norme s’appliquant non seulement aux États-Unis mais dans la plupart des pays.

Ce qu’elle couvre : PCI DSS a été instituée par les principales marques de cartes de paiement (Visa, MasterCard, American Express, JCB et Discover). Il s’agit d’un ensemble d’exigences pour réduire la fraude et protéger les informations de carte de crédit des clients.

Exigences principales :

  1. Installez un pare-feu et configurez le routeur pour protéger les données des titulaires de carte.
  2. Les mots de passe système par défaut fournis par le fournisseur doivent être modifiés.
  3. Protégez les données des titulaires stockées. En général, aucune donnée de titulaire de carte ne devrait être conservée, sauf si cela est essentiel pour des raisons commerciales.
  4. Cryptez la transmission des données des titulaires de carte sur des réseaux publics ouverts. Le cryptage est une technologie utilisée pour encoder les données de manière à ce que seules les personnes autorisées puissent les lire.
  5. Un logiciel antivirus doit être installé et régulièrement mis à jour.
  6. Un logiciel de sécurité sous licence doit être installé.
  7. Limitez l’accès aux données des titulaires de carte aux personnes qui en ont besoin.
  8. Attribuez un identifiant unique à chaque personne utilisant l’ordinateur.
  9. Restreignez l’accès physique aux données des titulaires de carte.
  10. Suivez et surveillez tous les accès aux ressources du réseau et aux données des titulaires de carte.
  11. Testez régulièrement les systèmes de sécurité et les processus.
  12. Mettez en place un système de sécurité destiné à assurer la sécurité de l’information pour tous les employés.


Loi sur la Portabilité et la Responsabilité en Matière d’Assurance Maladie (HIPAA)

À qui elle s’adresse : Compagnies d’assurance santé, prestataires de soins de santé et intermédiaires de facturation médicale.

Ce qu’elle couvre : HIPAA est une législation américaine qui impose des dispositions relatives à la confidentialité et à la sécurité des informations médicales. Selon la loi, les entités concernées doivent protéger les informations sur la santé (ePHI) contre toute utilisation abusive ou exposition par des individus non autorisés.

Exigences et dispositions principales:

  1. Les prestataires utilisant le commerce électronique doivent utiliser les mêmes transactions de soins de santé, ensembles de codes et identifiants.
  2. La protection fédérale des informations personnelles de santé est assurée. La divulgation de ces informations n’est autorisée que si elle est requise pour les soins du patient ou d’autres fins importantes.
  3. La loi spécifie des mesures de protection administratives, physiques et techniques pour les entités concernées afin de garantir l’intégrité, la disponibilité et la confidentialité des informations de santé électroniques protégées.
  4. Les prestataires de soins de santé, les régimes d’assurance maladie et les employeurs doivent disposer de numéros nationaux standard qui les identifient lors des transactions standard.
 

La loi Gramm-Leach-Bliley (GLB)

À qui elle s’adresse : Institutions financières (banques, sociétés de bourse, compagnies d’assurance) ; entreprises fournissant des services financiers, tels que le prêt, la courtage, le transfert d’argent, la préparation de déclarations fiscales, la fourniture de conseils financiers, etc.

Ce qu’elle couvre : La loi GBL est une loi fédérale promulguée pour protéger les informations financières personnelles détenues par les institutions financières. Selon la composante relative à la vie privée, les institutions financières sont tenues de fournir à leurs clients un avis annuel concernant leurs pratiques de confidentialité et de leur offrir la possibilité de choisir de ne pas partager ces informations. La règle relative aux mesures de sauvegarde exige que les institutions financières mettent en place un système de sécurité complet pour assurer la confidentialité et l’intégrité des données financières privées dans leurs dossiers.

Loi sur les Transferts Électroniques de Fonds, Règlement E

À qui elle s’adresse : Institutions financières détenant des comptes consommateurs ou fournissant des services de transferts électroniques de fonds ; bénéficiaires et commerçants.

Ce qu’elle couvre : Cette loi protège les clients effectuant des transferts électroniques de fonds contre les erreurs et la fraude. Elle établit les droits fondamentaux, responsabilités et obligations des institutions financières offrant des services de transferts électroniques de fonds ainsi que ceux de leurs consommateurs. Les transferts électroniques de fonds incluent les transferts par terminaux de points de vente en magasin, les transferts via distributeurs automatiques, les services de paiement de factures par téléphone et les prélèvements préautorisés sur ou depuis le compte d’un consommateur.

Loi Fédérale sur la Gestion de la Sécurité de l’Information (FISMA)

À qui elle s’adresse : Agences fédérales

Ce qu’elle couvre : Cette loi traite des questions de sécurité nationale et oblige les agences fédérales à développer une méthode de protection des systèmes d’information.

Exigences/dispositions principales :  
  1. Les informations à protéger doivent être catégorisées.
  2. Des procédures d’évaluation des risques périodiques.
  3. La surveillance continue des contrôles de sécurité et l’évaluation de leur efficacité.
  4. La sélection des contrôles de base minimaux.
  5. La formation du personnel à la sensibilisation à la sécurité.
  6. Prendre des mesures pour détecter, signaler et répondre aux incidents de sécurité.
  7. Mettre en place des plans subordonnés pour la sécurité des réseaux et des installations.
 

Normes de la North American Electric Reliability Corp. (NERC)

À qui elles s’adressent : Systèmes de services publics électriques nord-américains.

Ce qu’elles couvrent : L’ensemble actuel des normes NERC a été développé pour établir des normes de fiabilité pour le système électrique de gros en Amérique du Nord, ainsi que pour protéger les infrastructures critiques de l’industrie contre les menaces physiques et cybernétiques.

Titre 21 du Code of Federal Regulations (21 CFR Partie 11) Documents Électroniques

À qui il s’adresse : Toutes les industries régulées par la FDA dont les activités impliquent l’utilisation d’ordinateurs, tant aux États-Unis qu’à l’étranger.

Ce qu’il couvre : La Partie 11 impose des directives concernant les documents électroniques et les signatures électroniques dans le but d’en garantir la fiabilité et la validité. Elle a été promulguée en 1997 et est surveillée par la Food and Drug Administration des États-Unis.

Directive sur la Protection des Données de l’Union Européenne

À qui elle s’adresse : Organisations européennes et entreprises non européennes auxquelles les données sont exportées.

Ce qu’elle couvre : La Directive sur la Protection des Données de l’Union Européenne fixe des limites strictes concernant la collecte et l’utilisation des données personnelles et oblige chaque État membre à mettre en place une autorité nationale indépendante chargée de la protection des données.

Loi sur le Safe Harbor

À qui elle s’adresse : Entreprises américaines ayant des activités en Europe.

Ce qu’elle couvre : La Loi sur le Safe Harbor interdit le transfert de données personnelles vers des pays non membres de l’Union Européenne s’ils ne respectent pas la norme de protection de la vie privée établie par la Directive sur la Protection des Données de l’Union Européenne. Elle a été promulguée pour rapprocher les différentes approches en matière de confidentialité en Europe et aux États-Unis, permettant ainsi aux entreprises américaines de mener des opérations transatlantiques sans être interrompues ou poursuivies par les autorités européennes.

En savoir plus sur la manière dont DataSunrise aide à se conformer aux exigences réglementaires.

Suivant

Découverte de Données Sensibles pour Détecter et Gérer les Données Confidentielles

Découverte de Données Sensibles pour Détecter et Gérer les Données Confidentielles

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]