मई 2017 में, न्यूयॉर्क स्टेट डिपार्टमेंट ऑफ़ फ़ाइनेंशियल सर्विसेज (NYDFS) ने 23 NYCRR भाग 500, एक नया साइबर सुरक्षा नियम जारी किया। यह विनियमन अब पूर्ण प्रभाव में है, लेकिन यह वास्तव में क्या है यह स्पष्ट नहीं हो सकता है।
इसकी घोषणा के बाद से, आवश्यकताओं के इस सेट में कुछ बदलाव हुए हैं, और इसकी कानूनी भाषा अस्पष्ट हो सकती है। NYDFS साइबर सुरक्षा विनियमन क्या है, और यह आपको कैसे प्रभावित करता है? आइए करीब से देखें।
NYDFS का साइबर सुरक्षा विनियमन क्या है?
NYDFS साइबर सुरक्षा विनियमन न्यूयॉर्क में वित्तीय सेवाओं के लिए सुरक्षा आवश्यकताओं को सूचीबद्ध करता है। यूरोप के जनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर) की तरह, इन नियमों का उद्देश्य कंपनियों को एक विशिष्ट मानक पर रखकर नागरिकों के डेटा की सुरक्षा करना है। इस मामले में, ये मानक ज्यादातर NIST साइबर सुरक्षा फ्रेमवर्क से आते हैं।
इन विनियमों के तहत, न्यूयॉर्क वित्तीय कंपनियों को यह करना होगा:
- समय-समय पर अपने आईटी सिस्टम की सुरक्षा और डेटा गोपनीयता की समीक्षा करें।
- साइबर सुरक्षा घटनाओं को रिकॉर्ड करें और इन रिकॉर्ड्स को पांच साल तक रखें।
- व्यक्तिगत जानकारी को सुरक्षित रूप से हटाने के लिए नीतियां और प्रक्रियाएं हैं जिनकी अब उन्हें आवश्यकता नहीं है।
- व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) तक पहुंच सीमित करें और नियमित रूप से इन विशेषाधिकारों की समीक्षा करें।
- साइबर सुरक्षा की घटनाओं का पता लगाने, उनका जवाब देने और उनसे उबरने के बारे में विस्तृत लिखित योजना बनाएं।
- साइबर सुरक्षा घटना के 72 घंटों के भीतर NYDFS को सूचित करें।
कुछ समान कानूनों के विपरीत, NYDFS साइबर सुरक्षा विनियम में इस बारे में विस्तृत निर्देश शामिल हैं कि इन सुरक्षा और रिपोर्टिंग योजनाओं में क्या शामिल होना चाहिए। इसके लिए कंपनियों को यह सुनिश्चित करने की भी आवश्यकता होती है कि उनके तृतीय पक्ष सुरक्षित हैं, न कि केवल उनके आंतरिक संचालन के लिए।
ये आवश्यकताएं इस विनियमन को किसी भी राज्य के सबसे व्यापक और सख्त नियमों में से एक बनाती हैं। उनका उल्लंघन करने वाले व्यवसायों को भारी जुर्माना का सामना करना पड़ सकता है, लेकिन दंड की पूरी सीमा अभी भी स्पष्ट नहीं है।
NYDFS साइबर सुरक्षा विनियम किस पर लागू होता है?
NYDFS साइबर सुरक्षा विनियम किसी भी व्यक्ति या संस्था पर लागू होता है जिसे NYDFS से लाइसेंस की आवश्यकता होती है। इसमें न्यूयॉर्क की वित्तीय और बीमा कंपनियां शामिल हैं, जिनमें शामिल हैं:
- बैंक।
- क्रेडिट यूनियन।
- निवेश कंपनियां।
- लाइसेंस प्राप्त ऋणदाता।
- बंधक दलाल।
- बीमा प्रदाता।
- बचत और ऋण संघ।
इन कवर की गई संस्थाओं में स्थानीय व्यवसाय और न्यूयॉर्क में काम करने के लिए लाइसेंस प्राप्त विदेशी कंपनियां शामिल हैं। उदाहरण के लिए, भले ही ड्यूश बैंक एक जर्मन कंपनी है, उसे 23 NYCRR भाग 500 का अनुपालन करना होगा क्योंकि यह न्यूयॉर्क शहर में संचालित होती है।
इस सूची में कुछ अपवाद हैं। 10 से कम कर्मचारियों वाली कंपनियां, पिछले तीन वर्षों में न्यूयॉर्क से वार्षिक राजस्व में $ 5 मिलियन से कम, या कुल वर्ष के अंत की संपत्ति में $ 10 मिलियन से कम को छूट दी गई है। ऐसे ही ऐसे व्यवसाय हैं जो निजी जानकारी को संग्रहीत या संसाधित नहीं करते हैं, लेकिन वित्तीय सेवा कंपनी के लिए यह संभव नहीं है।
साइबर सुरक्षा विनियम आपके लिए क्या मायने रखता है?
यदि आप न्यूयॉर्क राज्य में रहते हैं या बैंक हैं, तो संभवतः आपका संस्थान इन नियमों के अंतर्गत आता है। यदि आप ऐसा नहीं भी करते हैं, तब भी NYDFS साइबर सुरक्षा विनियम आपके बैंक पर लागू हो सकता है। यदि राज्य में इसकी कोई शाखा चल रही है और वित्तीय आवश्यकताओं को पूरा करती है, तो उसे अनुपालन करना होगा।
बैंक के ग्राहक के रूप में, आपको इन आवश्यकताओं के तहत कोई कदम उठाने की आवश्यकता नहीं है। हालाँकि, आप अपने वित्तीय संस्थान या बीमाकर्ता के संचालन में कुछ बदलाव देख सकते हैं। आपको मल्टीफ़ैक्टर प्रमाणीकरण (एमएफए) जैसे अतिरिक्त सुरक्षा चरणों का उपयोग करना पड़ सकता है या अपनी अनुमतियों को समायोजित करना पड़ सकता है क्योंकि ये कंपनियां अपने साइबर सुरक्षा उपायों में सुधार करती हैं।
इन नियमों को प्रेरित करने वाले एनआईएसटी साइबर सुरक्षा फ्रेमवर्क में समय पर सूचना साझा करना शामिल है, जो आपको प्रभावित कर सकता है। यदि आपके बैंक या बीमाकर्ता के साथ कोई घटना होती है, तो उन्हें आपको सूचित करना पड़ सकता है। आपको प्रतिक्रिया में कुछ भी करने की संभावना नहीं है, लेकिन आप इस प्रकार के संदेश प्राप्त करने की उम्मीद कर सकते हैं।
भले ही 23 एनवाईसीआरआर भाग 500 के तहत आपकी कोई कानूनी बाध्यता नहीं है, फिर भी अपनी वित्तीय जानकारी से सावधान रहना सबसे अच्छा है। हमेशा अद्वितीय, मजबूत पासवर्ड का उपयोग करें, जब संभव हो तो एमएफए सक्षम करें और कभी भी किसी अज्ञात स्रोत को पीआईआई न दें। इन विनियमों की सख्ती इस बात पर प्रकाश डालती है कि ये मुद्दे कितने महत्वपूर्ण हैं, इसलिए सावधानी बरतें।
सरकारें साइबर सुरक्षा को अधिक गंभीरता से ले रही हैं
NYDFS साइबर सुरक्षा विनियमन स्थानीय सरकारों द्वारा साइबर सुरक्षा कानून जारी करने के कई हालिया उदाहरणों में से एक है। जैसे-जैसे डिजिटल उपकरण रोज़मर्रा की ज़िंदगी में आम होते जा रहे हैं, ये नियम केवल बढ़ते जाएंगे।
उपभोक्ताओं और व्यवसायों को समान रूप से इन नियमों के बारे में अद्यतित रहना चाहिए ताकि यह सुनिश्चित हो सके कि वे अनुपालन कर रहे हैं। ये बदलाव पहली बार में जटिल लग सकते हैं, लेकिन ये बेहतर सुरक्षा की दिशा में एक आवश्यक कदम हैं।