DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

Legislazione sulla Sicurezza delle Informazioni

Legislazione sulla Sicurezza delle Informazioni

Man mano che il valore delle informazioni aumenta, anche il numero di crimini informatici cresce. Più reati informatici vengono commessi, maggiori sono le agenzie regolatorie che cercano di prevenirli creando nuove leggi e regolamenti ai quali le aziende che conservano dati sensibili sono obbligate a conformarsi. Qui può trovare i più importanti atti normativi statunitensi in materia di sicurezza delle informazioni.

Sarbanes-Oxley Act (SOX)

A chi è destinato: Consigli di amministrazione di società quotate, società di contabilità pubblica e imprese di gestione.

Cosa copre: A seguito degli scandali contabili presso le società Enron, Tyco e Worldcom, che portarono al crollo del mercato azionario, fu creato il Sarbanes-Oxley Act (SOX). L’obiettivo è prevenire le frodi contabili, assicurando che tutte le relazioni sulle attività finanziarie contengano informazioni affidabili, verificabili da revisori indipendenti. L’atto stabilisce standard e regole per i rapporti di audit e implica maggiori obblighi di trasparenza finanziaria. Un agente speciale ispeziona, indaga e fa rispettare i requisiti. La non conformità comporta sanzioni significative.

Payment Card Industry Data Security Standard (PCI DSS)

A chi è destinato: Qualsiasi azienda che gestisce dati di carte di credito; lo standard è in vigore non solo negli Stati Uniti, ma anche nella maggior parte dei paesi.

Cosa copre: Il PCI DSS è stato istituito dai principali marchi di carte di pagamento (Visa, MasterCard, American Express, JCB e Discover). Si tratta di un insieme di requisiti per ridurre le frodi e proteggere le informazioni delle carte di credito dei clienti.

Principali requisiti:

  1. Installare un firewall e configurare il router per proteggere i dati dei titolari di carta.
  2. Le password di sistema predefinite fornite dal venditore devono essere modificate.
  3. Proteggere i dati dei titolari di carta memorizzati. In generale, nessun dato dei titolari di carta dovrebbe essere conservato se non strettamente necessario per scopi aziendali.
  4. Criptare la trasmissione dei dati dei titolari di carta attraverso reti aperte e pubbliche. La crittografia è una tecnologia usata per codificare i dati in modo che solo persone autorizzate possano leggerli.
  5. Il software antivirus deve essere installato e aggiornato regolarmente.
  6. Il software di sicurezza con licenza deve essere installato.
  7. Limitare l’accesso ai dati dei titolari di carta basandosi sul principio del need-to-know.
  8. Assegnare un ID univoco a ogni utente del computer.
  9. Limitare l’accesso fisico ai dati dei titolari di carta.
  10. Monitorare e tracciare tutti gli accessi alle risorse della rete e ai dati dei titolari di carta.
  11. Testare regolarmente i sistemi e i processi di sicurezza.
  12. Costruire un sistema di sicurezza che affronti la sicurezza delle informazioni per tutti i dipendenti.


Health Insurance Portability and Accountability Act (HIPAA)

A chi è destinato: Compagnie di assicurazione sanitaria, fornitori di assistenza sanitaria e centri di compensazione medica.

Cosa copre: L’HIPAA è una legislazione degli Stati Uniti che impone disposizioni sulla privacy e sulla sicurezza dei dati per le informazioni mediche. Secondo l’atto, i soggetti devono proteggere le informazioni sanitarie (ePHI) dal possibile uso improprio o esposizione da parte di individui non autorizzati.

Principali requisiti e disposizioni:

  1. I fornitori che operano elettronicamente sono tenuti a utilizzare le stesse transazioni sanitarie, insiemi di codici e identificatori.
  2. È prevista una protezione federale per le informazioni sanitarie personali. La divulgazione di tali informazioni è consentita solo se necessaria per la cura del paziente o per altri scopi rilevanti.
  3. L’atto specifica misure di salvaguardia amministrative, fisiche e tecniche per le entità interessate, al fine di garantire l’integrità, la disponibilità e la riservatezza delle informazioni sanitarie protette in formato elettronico.
  4. I fornitori di assistenza sanitaria, i piani sanitari e i datori di lavoro sono tenuti ad avere numeri nazionali standardizzati che li identifichino nelle transazioni standard.
 

Il Gramm-Leach-Bliley Act (GLB)

A chi è destinato: Istituzioni finanziarie (banche, società di borsa, compagnie assicurative); aziende che forniscono servizi finanziari, come prestiti, intermediazione, trasferimenti di denaro, preparazione delle dichiarazioni fiscali, consulenza finanziaria, ecc.

Cosa copre: Il Gramm-Leach-Bliley Act è una legge federale emanata per proteggere le informazioni finanziarie personali dei consumatori detenute dalle istituzioni finanziarie. Secondo il componente sulla privacy, le istituzioni finanziarie sono obbligate a fornire ai loro clienti un avviso annuale sulle pratiche relative alla privacy e a dare l’opportunità di scegliere di non condividere tali informazioni. La Safeguards Rule richiede che le istituzioni finanziarie instaurino un sistema di sicurezza completo per garantire la riservatezza e l’integrità dei dati finanziari privati nei loro registri.

Electronic Fund Transfer Act, Regolamento E

A chi è destinato: Istituzioni finanziarie che detengono conti dei consumatori o che forniscono servizi EFT; beneficiari e commercianti.

Cosa copre: Questa legge protegge i clienti che effettuano trasferimenti elettronici di fondi da errori e frodi. Stabilisce i diritti, le responsabilità e le passività fondamentali delle istituzioni finanziarie che offrono servizi EFT e dei loro consumatori. I servizi EFT includono trasferimenti tramite terminale point-of-sale nei negozi, trasferimenti ATM, servizi telefonici di pagamento delle bollette e trasferimenti preautorizzati da o verso il conto di un consumatore.

Federal Information Security Management Act (FISMA)

A chi è destinato: Agenzie federali

Cosa copre: Questa legge affronta questioni di sicurezza nazionale e obbliga le agenzie federali a sviluppare un metodo per proteggere i sistemi informativi.

Principali requisiti/disposizioni:  
  1. Le informazioni da proteggere devono essere categorizzate.
  2. Procedure periodiche di valutazione del rischio.
  3. Monitoraggio continuo dei controlli di sicurezza e valutazione della loro efficacia.
  4. Selezionare controlli di base minimi.
  5. Formazione sulla consapevolezza della sicurezza per il personale.
  6. Adottare misure per rilevare, segnalare e rispondere agli incidenti di sicurezza.
  7. Piani subordinati per la sicurezza delle reti e delle strutture informative.
 

Standard della North American Electric Reliability Corp. (NERC)

A chi è destinato: I sistemi elettrici delle utility nordamericane.

Cosa copre: L’attuale insieme di standard NERC è stato sviluppato per stabilire standard di affidabilità per il sistema di trasmissione in larga scala del Nord America, nonché per proteggere le infrastrutture critiche dell’industria da minacce fisiche e informatiche.

Titolo 21 del Code of Federal Regulations (21 CFR Part 11) Registrazioni Elettroniche

A chi è destinato: Tutte le industrie soggette a regolamentazione FDA, le cui attività richiedono l’uso di computer, sia negli Stati Uniti che all’estero.

Cosa copre: La Part 11, come comunemente chiamata, impone linee guida sulle registrazioni elettroniche e sulle firme elettroniche al fine di garantirne l’affidabilità e l’attendibilità. È stata emanata nel 1997 ed è monitorata dalla U.S. Food and Drug Administration.

Direttiva sulla Protezione dei Dati dell’Unione Europea

A chi è destinato: Organizzazioni europee e aziende non europee alle quali vengono esportati i dati.

Cosa copre: La Direttiva sulla Protezione dei Dati dell’Unione Europea stabilisce limiti rigorosi sulla raccolta e l’uso dei dati personali e obbliga ogni Stato membro a istituire un organismo nazionale indipendente responsabile della protezione dei dati.

Safe Harbor Act

A chi è destinato: Aziende statunitensi che operano in Europa.

Cosa copre: Il Safe Harbor Act vieta il trasferimento di dati personali verso nazioni non appartenenti all’Unione Europea se non soddisfano lo standard di protezione della privacy stabilito dalla Direttiva sulla Protezione dei Dati dell’Unione Europea. È stato emanato per colmare le differenti modalità di protezione della privacy tra l’Europa e gli Stati Uniti, permettendo alle aziende statunitensi di operare trasatlanticamente senza subire interruzioni o persecuzioni da parte delle autorità europee.

Legga di più su come DataSunrise aiuta a conformarsi ai requisiti normativi.

Successivo

Scoperta dei Dati Sensibili per Rilevare e Gestire i Dati Confidenziali

Scoperta dei Dati Sensibili per Rilevare e Gestire i Dati Confidenziali

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Vendite:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]