Regulamento de Segurança Cibernética de Nova York 23 NYCRR Parte 500

Os conselhos de administração e a alta gerência devem assumir a responsabilidade direta pela supervisão da segurança cibernética — aprovando políticas por escrito, garantindo recursos adequados e certificando anualmente a conformidade. O NYDFS espera evidências de engajamento da liderança e de uma estrutura de governança sólida.

O BigID ajuda Traduzir controles técnicos em visibilidade executiva, fornecendo painéis de controle, métricas e relatórios prontos para comprovação, necessários para certificações e revisões do conselho.

As entidades devem realizar avaliações de risco formais pelo menos anualmente — e sempre que houver uma mudança significativa nos negócios, na tecnologia ou no cenário de ameaças. As avaliações devem incluir riscos relacionados a terceiros e à IA.

O BigID ajuda Avaliar continuamente o risco de dados por meio de descoberta, classificação e pontuação automatizadas em ambientes estruturados, não estruturados, em nuvem, SaaS e de IA — fornecendo uma visão atualizada e baseada em dados da exposição.

As entidades abrangidas devem manter um inventário completo e preciso de todos os sistemas de informação e ativos de dados. Cada entrada deve incluir propriedade, localização, classificação, RTO (Resposta de Objetivo), status de suporte, procedimentos de descarte e designações NPI (Informações Não Protegidas) ou AI (Inteligência Artificial) — com validação regular.

O BigID ajuda Automatize a descoberta, a rotulagem e a conciliação para manter um inventário dinâmico que atenda aos padrões do NYDFS e permaneça atualizado conforme os ambientes evoluem.

Os direitos de acesso devem ser regidos por controles rigorosos, aplicados por meio de autenticação multifator (MFA) e políticas de privilégio mínimo. O Departamento de Serviços Financeiros de Nova York (NYDFS) exige revisões periódicas de acesso para detectar contas com privilégios excessivos ou contas órfãs.

O BigID ajuda Mapear permissões de acordo com a sensibilidade dos dados, monitorar a atividade do usuário, detectar privilégios excessivos e identificar automaticamente padrões de acesso de risco em ambientes híbridos.

As organizações devem detectar, investigar e relatar incidentes de segurança cibernética — incluindo ataques de ransomware — em tempo hábil. A documentação, o controle e os procedimentos de recuperação devem estar em conformidade com as normas regulamentares.

O BigID ajuda Identificar quais dados foram afetados, quem acessou e qual era o seu nível de sensibilidade — acelerando a análise de impacto e permitindo uma resposta mais rápida e baseada em evidências a violações de segurança.

O Departamento de Serviços Financeiros de Nova York (NYDFS) agora exige a supervisão de sistemas que usam ou dependem de IA, requerendo visibilidade das entradas, saídas e dependências de dados dos modelos para mitigar vieses e uso indevido.

O BigID ajuda Identificar sistemas de IA, rastrear fluxos de dados e rotular dados de treinamento sensíveis — possibilitando uma governança de IA responsável e documentação pronta para conformidade com os órgãos reguladores.