Principali normative in materia di sicurezza delle informazioni – Stati Uniti

Basilea II

Lo scopo di questa normativa è di migliorare l'allineamento dei requisiti bancari relativi al capitale ai rischi sottostanti. Alle banche viene richiesto di monitorare, mitigare e palesare i rischi.

http://www.bis.org/publ/bcbsca.htm

• Organizzazioni globali di servizi finanziari
• Banche internazionali con asset superiori a 250 miliardi di dollari o esposizioni sull'estero superiori a 10 miliardi di dollari.

Standard di sicurezza dei dati nel settore delle carte di pagamento (PCI, Payment Card Industry)

Questo standard ha come obiettivo la creazione di un unico insieme di requisiti di sicurezza da utilizzare da parte di tutti gli istituti di pagamento. Gli operatori commerciali e i fornitori di servizi devono adottare questo standard per valutare il proprio stato di sicurezza.

https://www.pcisecuritystandards.org/

• Tutti i membri, operatori commerciali e fornitori di servizi che memorizzano, elaborano o trasmettono dati relativi al possessore della carta.

Sarbanes-Oxley Act (SOX)

Questa legge obbliga le organizzazioni a garantire l'accuratezza delle informazioni finanziarie e l'affidabilità dei sistemi che le generano. I dirigenti devono sottostare a valutazione dei controlli interni in materia di report finanziari. La valutazione deve essere eseguita da revisori esterni.

http://www.sarbanes-oxley.com/

• Tutte le aziende pubbliche e regolate da SEC.

Gramm-Leach-Bliley Act (GLBA)

Questa legge definisce le attività di protezione da attuare a protezione della sicurezza, della riservatezza e dell'integrità delle informazioni finanziarie dei consumatori.

http://www.ftc.gov/privacy/privacyinitiatives/glbact.html

• Istituti finanziari
• Aziende che vendono prodotti finanziari

Legge sulla trasferibilità e responsabilità sulla copertura assicurativa sanitaria (HIPAA)

La normativa a tutela della privacy HIPAA definisce gli standard per l'utilizzo e la divulgazione delle informazioni sanitarie delle persone da parte delle organizzazioni. Gli standard includono anche i diritti alla privacy dei singoli individui per comprendere e controllare la modalità di utilizzo delle rispettive informazioni sanitarie. La legge sulla privacy richiede che gli enti interessati garantiscano la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie dei singoli individui.

http://www.hipaa.org/

• Operatori sanitari ed enti correlati.

California Assembly Bill 1950 (AB 1950)

Questo disegno di legge si basa sui requisiti della privacy del Senate Bill 1386 e prevede che le organizzazioni adottino "ragionevoli precauzioni" al fine di proteggere i dati personali dei residenti della California contro modifica, cancellazione, divulgazione ed errato utilizzo, invece che semplicemente riferirne la divulgazione.

http://info.sen.ca.gov/pub/03-04/bill/asm/ab_1901-1950/ab_1950_bill_20040929_chaptered.pdf

• Qualunque ente che operi in California, che conservi dati computerizzati contenenti informazioni personali.

Autenticazione in ambiente bancario su Internet
(Linee guida FFIEC Novembre 2005)

Questa guida consiglia alle organizzazioni di adottare misure di sicurezza che consentano un'autenticazione affidabile ai propri clienti per il banking on-line.

http://www.ffiec.gov/ffiecinfobase/resources/info_sec/2006/ncu-05-CU-18.pdf

• Tutti gli istituti finanziari
• Application service provider (ASP) che offrono applicazioni di Internet banking.

Titolo 21 delle normative federali Parte 11 (21 CFR Parte 11)

Questa normativa evidenzia i requisiti della Food and Drug Administration in materia di record elettronici e firme elettroniche. Le organizzazioni devono implementare i controlli per garantire l'autenticità, l'integrità, la riservatezza e il non ripudio dei record elettronici. In alcuni casi, le organizzazioni devono anche adottare misure quali la codifica e le firme digitali.

http://www.fda.gov/ora/compliance_ref/part11/

• Aziende farmaceutiche, biotecnologiche, produttrici di dispositivi medici, alimentari e cosmetiche.

Legge federale sulla gestione della sicurezza delle informazioni (FISMA)

Questa legge prevede che le agenzie federali sviluppino, documentino ed implementino programmi a livello di agenzia volti a proteggere i sistemi relativi a dati e informazioni sostenendo le operazioni e gli asset dell'agenzia stessa, compresi quelli gestiti da altre agenzie o terze parti.

http://csrc.nist.gov/policies/FISMA-final.pdf

• Agenzie federali, statali, locali e governi tribali, nonché organizzazioni del settore privato che compongono l'infrastruttura critica degli Stati Uniti.

Legge californiana sul trattamento delle informazioni o Senate Bill 1386

Questa legge prevede la divulgazione da parte delle organizzazioni di qualunque violazione della sicurezza verificatasi nei confronti di qualunque residente della California le cui informazioni personali non codificate possano essere state acquisite da una persona non autorizzata.

http://www.leginfo.ca.gov/cgi-bin/postquery?bill_number=sb_1386&sess=PREV&house=B&author=peace

• Enti che operano in California, che conservano dati computerizzati contenenti informazioni personali.

USA PATRIOT Act

Questa legge conferisce ai funzionari federali maggiore autorità nel tracciare e intercettare le comunicazioni, per scopi sia di applicazione della legge che di intelligence straniera.

http://leahy.senate.gov/press/200110/102401a.html

• Tutte le aziende statunitensi e le aziende che operano con gli Stati Uniti.

Standard federali relativi all'elaborazione delle informazioni (FIPS)

Questi standard richiedono la convalida FIPS o Common Criteria (CC) di tutte le applicazioni e i dispositivi che utilizzano sistemi di codifica.

http://www.itl.nist.gov/fipspubs/

• Tutti i reparti e gli enti governativi statunitensi che utilizzano sistemi di sicurezza basati sulla codifica per proteggere informazioni non segrete.