Regulamentação de segurança cibernética do DFS de Nova York (23 NYCRR 500): o que as empresas de serviços financeiros e seus MSPs precisam saber

A maioria dos programas de conformidade com o NYDFS atualmente em uso foi desenvolvida com base na versão original de 2017 da Parte 500 do 23 NYCRR. As alterações de novembro de 2023 modificaram substancialmente os requisitos, e um programa que não tenha sido atualizado de acordo com a regulamentação atual está agora operando com base em requisitos que já não existem.

Isso é importante porque o Departamento de Serviços Financeiros de Nova York tem aplicado ativamente a regulamentação, com multas de magnitude que chamam a atenção das equipes financeiras. A Robinhood pagou US$ 30 milhões em 2022. A EyeMed Vision Care pagou US$ 4,5 milhões. A OneMain Financial pagou US$ 4,25 milhões em 2023. Esses não eram riscos teóricos. Foram resultados de ações coercitivas contra entidades que, na avaliação do DFS, não haviam implementado os controles exigidos pela regulamentação.

Este guia aborda o que a norma 23 NYCRR 500 realmente exige de acordo com a regra alterada, quem deve cumprir essas exigências, como funcionam na prática os prazos de notificação de 72 e 24 horas, o que a regulamentação impõe aos prestadores de serviços terceirizados (ou seja, MSPs) e como estabelecer uma postura de conformidade defensável em caso de fiscalização. Leia o Relatório Kaseya sobre o Estado dos MSPs de 2026 para obter um contexto mais amplo sobre segurança cibernética.

O que é o 23 NYCRR 500?

A Parte 500 do 23 NYCRR é o regulamento de segurança cibernética do Departamento de Serviços Financeiros de Nova York, em vigor desde 1º de março de 2017 e alterado substancialmente em novembro de 2023. O regulamento exige que as empresas de serviços financeiros abrangidas estabeleçam um programa de segurança cibernética documentado, nomeiem um CISO, mantenham um conjunto definido de controles de segurança e notifiquem o DFS sobre eventos específicos de segurança cibernética dentro de prazos rigorosos.

As alterações de novembro de 2023 (a Segunda Alteração à Parte 500) introduziram requisitos que refletem as mudanças ocorridas no panorama de ameaças desde a regulamentação original. Requisitos de criptografia ampliados. Requisitos de autenticação multifatorial (MFA) reforçados, incluindo uma tendência para a adoção de MFA resistente a phishing, sempre que viável. Expectativas aprimoradas em relação ao monitoramento contínuo. Um novo prazo de notificação de 24 horas para pagamentos de resgate. E um conjunto mais rigoroso de controles aplicáveis a grandes entidades abrangidas (empresas da Classe A).

Para as organizações cujos programas foram avaliados de forma abrangente pela última vez antes de novembro de 2023, a implicação prática é que a análise de lacunas precisa ser repetida. Vários requisitos sofreram alterações significativas, e a formulação da certificação utilizada anualmente pelos diretores torna a precisão da declaração de conformidade uma questão de grande importância pessoal.

Quem deve cumprir

O artigo 23 NYCRR 500 aplica-se a qualquer pessoa que opere sob licença, registro, autorização, certificado, permissão, acreditação ou autorização semelhante nos termos da Lei Bancária, da Lei de Seguros ou da Lei de Serviços Financeiros de Nova York. Na prática, isso abrange bancos autorizados pelo estado, seguradoras, administradoras de hipotecas, empresas de transferência de dinheiro, casas de câmbio, agências de financiamento de prêmios, credores licenciados e o conjunto mais amplo de entidades reguladas pelo DFS.

As entidades de menor porte podem se qualificar para isenções limitadas de certos requisitos normativos. O limite para a isenção limitada previsto no §500.19 combina três condições: menos de 20 funcionários e prestadores de serviços independentes, receita bruta anual inferior a US$ 7,5 milhões proveniente de operações em Nova York e ativos totais no final do ano inferiores a US$ 15 milhões. As entidades que atendam a todos os três limites podem se beneficiar da isenção limitada, mas continuam sujeitas ao requisito básico de possuir um programa de segurança cibernética.

As alterações de novembro de 2023 também introduziram uma categoria Classe A para as maiores entidades abrangidas, definidas por limites relativos ao número de funcionários, receita e ativos. As empresas da Classe A enfrentam requisitos adicionais além da regra básica, incluindo controles mais rigorosos de monitoramento e gestão de identidade. As empresas de serviços financeiros de médio e grande porte que operam em Nova York devem verificar se se enquadram na definição da Classe A, uma vez que as obrigações adicionais são significativas.

Os prestadores de serviços terceirizados, incluindo MSPs e prestadores de serviços de segurança gerenciados, não são licenciados diretamente pelo DFS, mas são incluídos no âmbito de conformidade por meio do §500.11, que exige que as entidades abrangidas gerenciem as práticas de segurança cibernética dos prestadores com acesso aos seus sistemas ou a informações não públicas.

Principais requisitos previstos no regulamento alterado

A norma alterada abrange um conjunto definido de áreas de controle. Os requisitos mais significativos do ponto de vista operacional incluem os seguintes.

Um programa de segurança cibernética documentado, baseado em uma avaliação de riscos, que abranja a confidencialidade, a integridade e a disponibilidade dos sistemas de informação da entidade abrangida. O programa deve ser revisado pelo menos uma vez por ano e atualizado sempre que o panorama de riscos se alterar.

Um CISO qualificado, seja interno ou terceirizado, responsável pelo programa e obrigado a apresentar um relatório anual ao conselho (ou órgão de governança equivalente) sobre a eficácia do programa, os riscos significativos e os incidentes. O relatório anual passou a ter um conteúdo mais substancial com as alterações de novembro de 2023.

Autenticação multifatorial em todos os acessos remotos aos sistemas de informação da entidade abrangida, em todos os acessos a informações não públicas e em todas as contas privilegiadas. A emenda introduziu uma preferência pela autenticação multifatorial resistente a phishing (normalmente autenticação baseada em WebAuthn ou FIDO2), sempre que viável, reconhecendo que as senhas de uso único (OTP) baseadas em SMS e em aplicativos podem ser burladas por kits modernos de phishing.

Criptografia de informações não públicas em trânsito por redes externas e em repouso. Controles compensatórios alternativos só são permitidos mediante aprovação documentada do CISO e justificativa válida para a exceção.

Gestão de ativos e controles de acesso. Um inventário atualizado de todos os sistemas de informação, políticas documentadas para o tratamento de informações não públicas, acesso com o mínimo de privilégios para todas as contas de usuário, gestão de acesso privilegiado para permissões elevadas e revisões anuais de acesso.

Monitoramento contínuo dos sistemas de informação, testes de penetração pelo menos uma vez por ano e avaliações de vulnerabilidade pelo menos a cada seis meses. É justamente essa exigência de monitoramento contínuo que torna o prazo de 72 horas para a comunicação de incidentes algo operacionalmente viável, e não apenas uma meta ambiciosa.

Um plano documentado de resposta a incidentes que abranja a detecção, a resposta, a recuperação, a comunicação e a análise pós-incidente, testado pelo menos uma vez por ano. A documentação dos testes constitui, por si só, parte das evidências que o DFS espera receber durante a inspeção.

Treinamento anual em segurança cibernética para todo o pessoal, com treinamento específico para cada função destinado à equipe técnica sobre as ameaças atuais. As alterações elevaram o nível de exigência quanto ao que se considera treinamento adequado.

A exigência de notificação de incidentes em até 72 horas

As entidades abrangidas devem notificar o DFS no prazo de 72 horas após constatarem a ocorrência de um incidente de segurança cibernética que atinja o limite de notificação. O limite é atingido quando um incidente apresenta uma probabilidade razoável de prejudicar significativamente o funcionamento normal da entidade ou quando o incidente afeta informações não públicas.

As alterações de novembro de 2023 introduziram a obrigatoriedade de notificação em até 24 horas para pagamentos de resgate. As entidades abrangidas que efetuarem um pagamento de resgate devem notificar o DFS no prazo de 24 horas após o pagamento e fornecer uma descrição por escrito do ocorrido e dos motivos do pagamento no prazo de 30 dias.

É exigida uma certificação anual de conformidade por parte de um diretor sênior ou membro do conselho, e o texto da certificação atribui responsabilidade pessoal pela exatidão da declaração de conformidade. Apresentar uma certificação que deturpe a situação do programa é o tipo de ação que acarreta não apenas responsabilidade civil, mas também potencial responsabilidade individual.

O desafio operacional do prazo de 72 horas não é o próprio prazo em si. É a necessidade de detectar eventos com rapidez suficiente para saber que um deles ocorreu. Um incidente descoberto na terça-feira de manhã, que na verdade teve início no sábado anterior, já consumiu a maior parte do prazo de 72 horas antes mesmo que a entidade perceba que ele está em andamento. O monitoramento contínuo, seja interno ou prestado por um provedor de MDR, é o que torna a exigência de notificação algo que pode ser cumprida, em vez de ser ignorada.

Requisitos para prestadores de serviços terceirizados

A Seção 500.11 exige que as entidades abrangidas implementem políticas e procedimentos para a segurança dos prestadores de serviços terceirizados. Os requisitos incluem a identificação e a avaliação de riscos de todos os prestadores terceirizados com acesso a informações não públicas ou aos sistemas das entidades abrangidas, práticas mínimas de segurança cibernética exigidas desses prestadores (abrangendo criptografia, controles de acesso, autenticação multifatorial e resposta a incidentes), avaliação periódica das práticas de segurança dos prestadores e inclusão de requisitos de segurança nos contratos que regem a relação.

Para os MSPs que atendem clientes do setor de serviços financeiros abrangidos em Nova York, a implicação operacional é direta. O MSP deve cumprir as normas de segurança cibernética que a entidade abrangida é contratualmente obrigada a impor. Isso não é opcional para nenhuma das partes. A entidade abrangida não pode manter a conformidade sem impor esses requisitos ao seu MSP. O MSP não pode continuar sendo um fornecedor viável para a entidade abrangida sem demonstrar que cumpre tais requisitos.

Considere um cenário operacional comum. Um MSP presta serviços a uma instituição financeira de médio porte especializada em hipotecas em Nova York como principal fornecedor de TI e segurança. A instituição financeira é submetida a uma inspeção do DFS. O inspetor solicita comprovação da aplicação da autenticação multifatorial (MFA) em todos os acessos privilegiados aos sistemas de informação da instituição, incluindo o acesso por técnicos do MSP. As ferramentas padrão do MSP têm a MFA habilitada, mas a aplicação dessa medida não é auditada há meses, e três contas de técnicos que deixaram a empresa no último trimestre foram desativadas com atraso. O MSP se torna uma lacuna na postura de conformidade da instituição financeira, e a instituição financeira se torna uma lacuna na posição comercial do MSP. Ambos os problemas remontam ao fato de o MSP não estar executando seu próprio programa de acordo com o padrão que a regulamentação espera de seu cliente.

A orientação prática para os MSPs que atendem clientes do setor de serviços financeiros em Nova York é bem clara. Documentem o programa de segurança cibernética. Implemente a autenticação multifatorial (MFA) resistente a phishing em todas as contas que tenham acesso ao ambiente do cliente. Mantenham um plano de resposta a incidentes testado. Realizem monitoramento contínuo. E guardem as evidências de que tudo isso está sendo feito, em um formato que resista a uma auditoria do cliente, pois essa auditoria está por vir.

Aplicação da lei: o que o DFS tem feito

O histórico de fiscalização do DFS demonstra que não se trata de uma regulamentação meramente teórica. O padrão observado nos acordos publicados é consistente: as principais áreas alvo da fiscalização são as deficiências em MFA, controles de acesso, gestão de terceiros e capacidade de resposta a incidentes.

A First American Financial Corp chegou a um acordo em 2021 no valor de US$ 500.000 por violações que incluíram a falta de realização de avaliações de risco adequadas e a omissão em corrigir vulnerabilidades conhecidas. A Robinhood Crypto chegou a um acordo de US$ 30 milhões em 2022 devido a deficiências no programa de segurança cibernética. A EyeMed Vision Care chegou a um acordo de US$ 4,5 milhões em 2022 após uma violação que afetou aproximadamente 2,1 milhões de pessoas, com o acordo citando falhas no gerenciamento de acesso e na autenticação multifatorial (MFA). A OneMain Financial chegou a um acordo de US$ 4,25 milhões em 2023 por lacunas identificadas no programa.

Cada um desses acordos aponta falhas específicas de controle, em vez de penalizar uma falta de conformidade genérica, o que dá uma indicação clara sobre onde a fiscalização futura provavelmente se concentrará. Cobertura de MFA. Disciplina na gestão de acesso. Correção de vulnerabilidades. Supervisão de terceiros. Capacidade de resposta a incidentes.

Roteiro de conformidade para entidades abrangidas e seus MSPs

O trabalho se divide em cinco etapas.

Realize uma nova avaliação de lacunas com base na regulamentação alterada. Se a última avaliação abrangente tiver sido feita com base na versão de 2017 da norma, repita-a considerando as alterações de novembro de 2023. Várias áreas de controle apresentam requisitos novos ou reforçados, e os pressupostos incorporados aos programas anteriores a 2023 já não são confiáveis.

Priorize a autenticação multifatorial (MFA) e os controles de acesso. Essas são as deficiências mais frequentemente citadas nas ações de fiscalização publicadas. A autenticação multifatorial resistente a phishing em todos os acessos privilegiados, em todos os acessos a informações não públicas e em todos os acessos remotos é o ponto de partida imprescindível. Além disso, documente a periodicidade das revisões de acesso e o fluxo de trabalho de desligamento que garanta que as contas revogadas sejam efetivamente desativadas.

Implementar ou contratar um sistema de monitoramento contínuo. O prazo de 72 horas para notificação exige uma capacidade de detecção suficientemente rápida para identificar prontamente os eventos que devem ser comunicados. O monitoramento 24 horas por dia, 7 dias por semana, por meio de um SOC interno, um serviço SIEM gerenciado ou um provedor de MDR é a solução mais prática.

Revise e teste o plano de resposta a incidentes. Realize o exercício pelo menos uma vez por ano. Documente os testes e as melhorias implementadas após o exercício. Inclua o fluxo de trabalho de notificação do DFS como um manual de procedimentos específico dentro do plano, indicando os responsáveis e com o formulário de notificação antecipada pré-preenchido.

Avaliar e documentar a segurança de terceiros. As entidades abrangidas devem fazer um inventário de seus MSPs e outros prestadores de serviços incluídos no escopo, avaliar suas práticas de segurança em intervalos definidos e atualizar os contratos para refletir os requisitos da §500.11. Os MSPs devem preparar o conjunto de evidências de forma proativa, pois esperar pela auditoria do cliente é esperar demais.

Compliance Manager GRC avaliação da norma 23 NYCRR 500 por meio de sua biblioteca de modelos, permitindo que as entidades abrangidas e suas equipes de TI acompanhem o status de conformidade com a norma alterada, documentem controles, gerenciem avaliações de terceiros e gerem as evidências exigidas pelo DFS durante as inspeções. Explore Compliance Manager GRC para a gestão operacional contínua de um programa do NYDFS, em vez de ter que reconstruí-lo sob a pressão de uma inspeção.

As empresas de serviços financeiros e os MSPs que são aprovados nas inspeções do DFS não são necessariamente aqueles com as infraestruturas de segurança mais caras. São aqueles cuja documentação do programa corresponde à realidade operacional, cujas evidências são atuais e não reconstruídas, e cuja certificação anual é algo que o responsável pela certificação pode assinar sem precisar primeiro de uma conversa detalhada com o consultor jurídico. A versão alterada da norma 23 NYCRR 500 é uma regulamentação significativa aplicada por um órgão regulador ativo e com histórico comprovado. O ponto de partida para a conformidade é tratar a norma como uma disciplina contínua, e não como um projeto que tem fim.