Principales réglementations de sécurité des informations, États-Unis

Bâle II

Cette réglementation vise à mieux aligner les exigences du capital bancaire avec les risques sous-jacents. Les banques doivent surveiller, limiter et divulguer les risques.

http://www.bis.org/publ/bcbsca.htm

• Organisations mondiales de services financiers
• Banques internationales dont l’actif dépasse les 250 milliards de dollars ou dont l’exposition étrangère est supérieure à 10 milliards de dollars.

Payment Card Industry (PCI) Data Security Standard

Cette norme a pour but de fournir un seul ensemble de conditions de sécurité, applicable par toutes les organisations de paiement. Les sociétés commerciales et fournisseurs de services doivent appliquer cette norme pour évaluer leur situation de sécurité.

https://www.pcisecuritystandards.org/

• Tous les membres, sociétés commerciales et fournisseurs de services qui conservent, traitent ou transmettent des données sur les titulaires de cartes bancaires.

Sarbanes-Oxley Act (SOX)

Cette loi oblige les organisations à veiller à l’exactitude de leurs informations financières et à la fiabilité des systèmes produisant les informations. La direction doit se plier à l’évaluation des contrôles internes visant les rapports financiers. L’évaluation doit être réalisée par une société d’audit externe.

http://www.sarbanes-oxley.com/

• Toutes les sociétés cotées en bourse et contrôlées par la SEC.

Gramm-Leach-Bliley Act (GLBA)

Cette loi précise les mesures à mettre en place pour protéger la sécurité, la confidentialité et l’intégrité des informations financières des consommateurs.

http://www.ftc.gov/privacy/privacyinitiatives/glbact.html

• Institutions financières
• Entreprises proposant des produits financiers.

Health Insurance Portability and Accountability Act (HIPAA)

La HIPAA Privacy Rule définit les normes d’utilisation et de divulgation des informations personnelles de santé par les organisations. Ces normes déterminent également le droit des particuliers à comprendre et contrôler la façon dont leurs informations personnelles de santé sont utilisées. La Privacy Rule exige des entités concernées qu’elles garantissent la confidentialité, l’intégrité et la disponibilité des informations de santé des individus.

http://www.hipaa.org/

• Professionnels de santé et entités liées.

California Assembly Bill 1950 (AB 1950)

Cette loi s’appuie sur les exigences de respect de la vie privée du Senate Bill 1386 et exige des organisations qu’elles prennent des « précautions raisonnables » pour protéger les données personnelles des habitants de la Californie de tout risque de modification, effacement, divulgation et utilisation malveillante, au lieu de se contenter de faire état de la divulgation.

http://info.sen.ca.gov/pub/03-04/bill/asm/ab_1901-1950/ab_1950_bill_20040929_chaptered.pdf

• Toute entité professionnelle basée en Californie conservant des données informatisées et contenant des informations personnelles.

Authentification dans un environnement bancaire en ligne
(FFIEC November 2005 Guidance)

Cette directive recommande aux organisations de mettre en place des mesures de sécurité pour authentifier de manière fiable les clients de leurs services bancaires en ligne.

http://www.ffiec.gov/ffiecinfobase/resources/info_sec/2006/ncu-05-CU-18.pdf

• Toutes les institutions financières
• Fournisseurs de services d’applications (ASP) proposant des applications bancaires par Internet.

Title 21 of the Federal Regulations Part 11 (21 CFR Part 11)

Cette réglementation dicte les exigences de l’US Food and Drug Administration concernant les dossiers et signatures électroniques. Les organisations doivent mettre en place des contrôles garantissant l’authenticité, l’intégrité, la confidentialité et la non-répudiation des dossiers électroniques. Dans certains cas, les organisations doivent aussi mettre en œuvre certaines mesures comme le chiffrement et la signature numérique.

http://www.fda.gov/ora/compliance_ref/part11/

• Sociétés des secteurs pharmaceutique, des biotechnologies, des équipements médicaux, de l’alimentaire et des cosmétique.

Federal Information Security Management Act (FISMA)

Cette loi exige des agences fédérales qu’elles développement, documentent et mettent en œuvre dans l’ensemble de la structure des programmes visant à protéger les systèmes d’information et de données, notamment ceux qui sont gérés par d’autres agences ou tierces parties.

http://csrc.nist.gov/policies/FISMA-final.pdf

• Les agences fédérales, états, gouvernements locaux et tribaux ainsi que les organisations du secteur privé faisant partie de l’infrastructure des États-Unis.

California Information Practice Act ou Senate Bill 1386

Cette loi exige des organisations qu’elles divulguent toute intrusion concernant un résident de Californie dont les informations personnelles ont pu être subtilisées par une personne non autorisée.

http://www.leginfo.ca.gov/cgi-bin/postquery?bill_number=sb_1386&sess=PREV&house=B&author=peace

• Entités professionnelles basées en Californie conservant des données informatisées contenant des informations personnelles.

USA PATRIOT Act

Cette loi accorde aux agents des organisations fédérales davantage de pouvoir pour suivre et intercepter les communications dans le but de faire appliquer la loi et de rassembler des renseignements sur l’étranger.

http://leahy.senate.gov/press/200110/102401a.html

• Toutes les sociétés américaines et les sociétés qui ont une activité commerciale aux États-Unis.

Federal Information Processing Standards (FIPS)

Cette norme exige que la totalité des applications et systèmes qui ont recours au chiffrement soient conformes à la norme FIPS ou Common Criteria (CC).

http://www.itl.nist.gov/fipspubs/

• Tous les services et agences du gouvernement des États-Unis qui utilisent des systèmes de sécurité basés sur le chiffrement pour protéger des informations non confidentielles.