Principales normativas que afectan a la protección de la información en Estados Unidos

Basel II

El objetivo de esta normativa es alinear mejor las necesidades de capital de los bancos con los riesgos subyacentes. Los bancos están obligados a supervisar, mitigar y divulgar los riesgos.

http://www.bis.org/publ/bcbsca.htm

• Organizaciones de servicios financieros globales
• Los bancos internacionales con activos mayores de 250 millones de dólares, o exposición al riesgo cambiario de más de 10 mil millones de dólares.

Estándar de seguridad de datos para el sector de las tarjetas de pago (PCI)

El objetivo de este estándar es proporcionar un conjunto único de requisitos de seguridad para que lo utilicen todas las organizaciones de pagos. Los comerciantes y proveedores de servicios deben utilizar el estándar para evaluar su estado de seguridad.

https://www.pcisecuritystandards.org/

• Todos los miembros, comerciantes y proveedores de servicios que almacenan, procesan o transmiten datos de los titulares de tarjetas.

La ley Sarbanes-Oxley (SOX)

Esta ley obliga a las empresas a asegurar que su información financiera sea precisa y que los sistemas que generan la información sean fiables. La dirección está obligada a someterse a la evaluación de los controles internos sobre los informes financieros. La evaluación debe ser realizada por auditores externos.

http://www.sarbanes-oxley.com/

• Todas las empresas que cotizan en bolsa y están reguladas por la SEC.

Ley Gramm-Leach-Bliley (GLBA)

Esta ley estipula qué garantías deben adoptarse para proteger la seguridad, la confidencialidad y la integridad de la información financiera de los consumidores.

http://www.ftc.gov/privacy/privacyinitiatives/glbact.html

• Instituciones financieras
• Las empresas que venden productos financieros.

Ley de Transferibilidad y Responsabilidad del Seguro de Salud (HIPAA)

La norma de privacidad HIPAA establece estándares de uso y divulgación de información sobre la salud de los individuos por parte de las organizaciones. Estos estándares también se ocupan de los derechos individuales de privacidad para entender y controlar cómo se utiliza su información médica. La norma de privacidad exige que las entidades estén cubiertas para asegurar la confidencialidad, integridad y disponibilidad de información sobre la salud de las personas.

http://www.hipaa.org/

• Los profesionales de la salud y entidades relacionadas.

Proyecto de ley de la asamblea de California 1950 (AB 1950)

Este proyecto de ley se basa en los requisitos de privacidad del proyecto de ley del senado 1386 y requiere que las organizaciones tomen "precauciones razonables" para proteger los datos personales de los residentes de California frente a su modificación, supresión, divulgación y uso indebido, y que no se limiten tan sólo a informar sobre su divulgación.

http://info.sen.ca.gov/pub/03-04/bill/asm/ab_1901-1950/ab_1950_bill_20040929_chaptered.pdf

• Cualquier otra entidad que realice negocios en California, y conserve datos informatizados que contienen información personal.

Autenticación en un entorno bancario por Internet
(Guía FFIEC noviembre 2005)

Esta guía recomienda que las organizaciones desplieguen medidas de seguridad para autenticar de forma fiable a sus clientes de banca en línea.

http://www.ffiec.gov/ffiecinfobase/resources/info_sec/2006/ncu-05-CU-18.pdf

• Todas las instituciones financieras
• Proveedores de servicios de aplicaciones (ASP) que ofrecen las aplicaciones de banca por Internet.

Título 21 de las Normativas federales Parte 11 (21 CFR Parte 11)

Esta normativa describe los requisitos de la Administración de alimentos y fármacos de EE.UU. correspondiente a los registros electrónicos y firmas electrónicas. Las organizaciones deben implementar controles para asegurar la autenticidad, integridad, confidencialidad y no renuncia de los documentos electrónicos. En algunos casos, las organizaciones también deben implementar medidas como el cifrado y las firmas digitales.

http://www.fda.gov/ora/compliance_ref/part11/

• Farmacéuticas, empresas de biotecnología, dispositivos médicos, compañías de alimentos y de cosméticos.

Ley federal para la gestión de seguridad de la información (FISMA)

Esta ley requiere que las agencias federales desarrollen, documenten e implementen programas en toda la agencia para proteger los datos y los sistemas de información donde se llevan a cabo los activos y las operaciones de la agencia, incluidos los gestionados por otras entidades o terceros.

http://csrc.nist.gov/policies/FISMA-final.pdf

• Las agencias federales, gobiernos estatales, locales y tribales, así como organizaciones del sector privado que componen la infraestructura crítica de los EE.UU.

Ley de Prácticas de la Información del Estado o Proyecto de Ley del Senado de California 1386

Esta ley requiere que las organizaciones revelen cualquier brecha de seguridad que afecte a cualquier residente de California cuya información personal sin cifrar haya sido adquirida por una persona no autorizada.

http://www.leginfo.ca.gov/cgi-bin/postquery?bill_number=sb_1386&sess=PREV&house=B&author=peace

• Otras entidades que realicen negocios en California, y conserven datos informatizados que contienen información personal.

Ley USA PATRIOT

Esta ley otorga a los funcionarios federales mayor autoridad para rastrear e interceptar las comunicaciones, tanto para la aplicación de la ley como para vigilancia de inteligencia extranjera.

http://leahy.senate.gov/press/200110/102401a.html

• Todas las empresas de EE.UU. y las compañías que realizan negocios en los EE.UU.

Estándares Federales de Procesamiento de la Información (FIPS)

Esta norma exige que todas las aplicaciones y los dispositivos que utilizan criptografía se hayan validado según FIPS o Common Criteria (CC).

http://www.itl.nist.gov/fipspubs/

• Todos los departamentos y agencias de gobierno de los EE.UU. que utilizan sistemas de seguridad basados en criptografía para proteger la información desclasificada.