La cybersécurité aux Philippines – Lexologie ® mutuelle santé entreprise

De la couverture des risques de dommages subis ainsi qu’à causés à des tiers, aux garanties pour couvrir pertes d’exploitation et les risques informatiques, les contrats d’assurance, même facultatifs, peuvent s’avérer indispensables.
ll suffit rarement d’un incendie ainsi qu’à de la livraison d’un produit défaillant pour mettre en péril la vie d’une entreprise… Si, du étranglé point de vue juridique, seules quelques refuges sont obligatoires – la confirmation des véhicules, la responsabilité civile et maîtrise uniques de type garantie décennale pour quelques-uns secteurs d’activité -, PME et TPE ont tout intérêt à souscrire des garanties complémentaires. Au-delà du serré minimum – la certification des biens, celle des pertes d’exploitation et pourquoi pas la responsabilité civile pro -, certains contrats peuvent se révéler utiles à l’égard de l’activité de l’entreprise (informatique, chimie, transports, pratique cycliques…) ou pour faciliter son expansion à l’international. Difficile toutefois de s’y retrouver dans une offre surabondante. Parcours fléché des sept contrats obligatoire à l’entreprise.

1. L’assurance des biens

Première grande catégorie d’assurances pour entreprises: la couverture des risques potentiels extérieurs. Inondation, incendie, vol menacent locaux, le matos ou stocks. Contre ces dommages, une aisance spécifique doit être souscrite, non obligatoire par contre néanmoins incontournable. “Attention, si la societé est locataire de ses locaux – bureaux, usine, entrepôt- elle doit obligatoire souscrire une sûreté pour couvrir liés aux biens immobiliers et sa responsabilité d’occupation. Cette obligation figure dans la loi n°89-462 du 6 juillet 1989”, avertit Damien Palandjian responsable département à la Direction des Services aux Entreprises, chez le courtier en audace Verspieren.

En de sinistre, le chef d’aventure fera une déclaration à sa compagnie d’assurances dans un délai licite rappelé chez le contrat (de deux à cinq jours, selon les risques), aussi immédiatement pour les événements décisifs (incendie, catastrophe naturelle, tempête, cambriolage…). Le montant de l’indemnisation dépend alors de la valeur des biens garantis, c’est pourquoi il ne faut pas oublier de prévenir son assureur lorsque le périmètre des biens à assurer évolue en cours d’année (achat de nouvelles machines, reprise d’un autre site…), ni de vérifier quels sont les dommages réellement couverts. Les sociétés qui ont une activité cyclique se traduisant par une variation importante des retenue de produits ont intérêt à citer ces spécificité à leur assureur pour devenir mieux couvertes en cas de dommages. La valeur des bienséance est alors établie sur la base de montant annuel important et régularisée en fin d’année.

Dans finis les cas de figure, l’indemnisation existera versée le plus souvent après présentation des factures correspondant aux réparations nécessaires ainsi qu’à à l’achat de nouvelles matériels. En cas de lourd sinistre, l’assureur toutefois verser des acomptes à son client.

Le système juridique

Législation

Résumez les principales lois et réglementations qui favorisent la cybersécurité. Avez-vous des lois sur la cybersécurité dans votre juridiction?

2012 La Loi sur la prévention de la cybercriminalité (CPA) définit ce qui suit comme une cybercriminalité:

  • violations de la confidentialité, de l'intégrité et de la disponibilité des données et des systèmes informatiques (accès non autorisé, interception non autorisée, interférence de données, interférence de système, mauvaise utilisation de l'appareil et cybercollection);
  • criminalité informatique (contrefaçon informatique, fraude informatique et vol d'identité informatique); et
  • délits liés au contenu (cyber-sexe, pornographie juvénile, communications commerciales non désirées et diffamation).

Le CPA a désigné le National Bureau of Investigation (NBI) et la Philippine National Police (PNP) comme autorités chargées de l'application des lois et contrôle leur accès aux données informatiques en créant le Cybercrime Investigation and Coordination Centre (CICC) en tant qu'organisme interinstitutions pour la coordination des politiques et l'application du National Cyber ​​Security Plan. Ministère de la Justice (DOJ-OC), fournissant une assistance mutuelle internationale et l'extradition.

L'ordonnance de la Cour suprême sur les ordonnances de criminalité sur Internet (AM n ° 17-11-03-SC) régit l'application et l'octroi des ordonnances des tribunaux et des ordonnances connexes concernant la conservation, la divulgation, l'interception, la perquisition, la saisie ou l'expertise, ainsi que la garde et les données informatiques destruction conformément à la CPA.

2000 La loi sur le commerce électronique (ECA) prévoit l'admission légale des documents, messages et signatures électroniques, des transactions gouvernementales et des preuves dans les procédures judiciaires. L'ECA pénalise le piratage et le piratage de matériel protégé, de signatures électroniques et d'œuvres protégées par le droit d'auteur; limite la responsabilité des prestataires de services qui ne fournissent qu'un accès; et interdit à quiconque ayant accès à une clé, un document ou une information électronique de le partager. La LCE permet également explicitement aux parties de choisir le type ou le niveau de sécurité de leurs données électroniques et les méthodes technologiques appropriées, sous réserve des directives du Département du commerce et de l'industrie.

1998 La Loi sur la réglementation des dispositifs d'accès (ADRA) a puni diverses pratiques frauduleuses des dispositifs d'accès, telles que l'utilisation de dispositifs d'accès contrefaits. Un dispositif d'accès est une carte, une plaque, un code, un numéro de compte, un numéro de série électronique, un numéro d'identification personnel ou un autre service de télécommunications, un équipement ou un identifiant instrumental ou tout autre moyen d'accès à un compte qui peut être utilisé pour obtenir de l'argent, des biens, des services ou tout autre d'autres choses de valeur ou pour initier un transfert de fonds. ADRA a été modifié en 2019. Juillet, et la nouvelle loi alourdit les sanctions et prévoit d'autres interdictions, telles que: (i) la fabrication ou la possession de tout logiciel, programme, programme ou logiciel malveillant ou de tout matériel ou moyen électronique utilisé pour assurer l'assuré. actes; (ii) l'utilisation frauduleuse (non autorisée) de comptes bancaires en ligne; et (iii) piratage ou accès non autorisé à un système informatique ou à un serveur dans le but de falsifier, altérer, voler ou détruire un ordinateur ou un autre appareil de communication similaire à l'insu et sans le consentement de l'ordinateur ou du propriétaire des informations. L'ADRA modifié exige désormais que les émetteurs de dispositifs d'accès, tels que les banques, les sociétés de financement et d'autres institutions financières, et leurs partenaires commerciaux effectuent des recherches initiales et fournissent des rapports en temps réel sur les résultats des contre-mesures de l'IBN et de l'IPA. Groupe Cybercriminalité.

2012 La Data Privacy Act (DPA) réglemente la collecte et le traitement des informations personnelles aux Philippines et aux Philippines, y compris les informations personnelles sensibles au sein du gouvernement; créé la Commission nationale de la protection de la vie privée (NPC) en tant qu'organisme de réglementation; exige que les responsables du traitement des informations personnelles mettent en œuvre des mesures raisonnables et appropriées pour protéger les informations personnelles et signaler les violations aux PNJ et aux personnes concernées; et est punissable pour traitement non autorisé, accès négligent, élimination incorrecte, traitement illégal, accès non autorisé ou faute intentionnelle, dissimulation d'atteintes à la sécurité et divulgation malveillante ou illégale d'informations personnelles.

Les Philippines adhèrent à la Convention sur la cybercriminalité, qui entrera en vigueur en 2018. 1 juillet

Quels secteurs économiques de votre juridiction sont les plus soumis aux lois et réglementations en matière de cybersécurité?

Les transports, l'énergie, l'eau, la santé, les services d'urgence, les services bancaires et financiers, la location de processus commerciaux, les télécommunications, les médias et les secteurs gouvernementaux sont tous considérés comme des infrastructures d'information critiques (CII) et doivent respecter les normes de sécurité de l'information du Département de l'information et des communications. Technologie (DICT).

Votre juridiction a-t-elle adopté des normes internationales de cybersécurité?

Dans la circulaire du mémorandum DICT no. 5 (2017) oblige les agences gouvernementales à respecter l'échéance de 2018. 14 septembre Adopter un code de pratique pour la norme nationale philippine (PNS) ISO / CEI 27002 (Technologies de l'information – Méthodes de sécurité – Code de pratique pour le contrôle de la sécurité de l'information). et CII, que d'ici 2019. 14 septembre mis en œuvre par le système de gestion de la sécurité de l'information PNS ISO / IEC 27001. Les secteurs non-CII peuvent accepter volontairement le PNS ISO / IEC 27002. Le DICT effectue des évaluations des risques et de la vulnérabilité sur la base d'ISO 27000 et ISO 31000 et de la sécurité. au moins une fois par an Évaluation CII basée sur ISO / IEC TR 19791: 2010. DICT délivre également un certificat de conformité de cybersécurité CII basé sur ISO / IEC 15408 (Technologies de l'information – Méthodes de sécurité – Critères d'évaluation de la sécurité informatique) et ISO / IEC 18045 (IT méthodologie d'évaluation de la sécurité).

Se référant à la première politique «cloud» du gouvernement, la circulaire DICT no. 2017-002 comprend ISO / IEC 27001 comme contrôle de sécurité international accepté pour vérifier les données qui peuvent être transférées vers GovCloud ou le cloud public, et ISO / IEC 17203: 2011 pour la virtualisation ouverte. Spécification de format en tant que norme d'interopérabilité de charge de travail GovCloud.

Quelles sont les responsabilités du personnel et des directeurs responsables pour tenir l'organisation suffisamment informée sur la sécurité des réseaux et des données, et comment peuvent-ils être responsables d'une cybersécurité inadéquate?

Les obligations spécifiques de tenir la cybersécurité correctement informée découlent des obligations générales. En vertu de la DPA, les employés, agents ou représentants du gestionnaire des informations personnelles qui sont engagés dans le traitement des informations personnelles sont tenus de traiter et de protéger les informations personnelles en toute confidentialité, sauf si les informations personnelles sont destinées à être divulguées publiquement, même après la retraite, le transfert ou la cessation d'emploi. pour les relations contractuelles. Il exige également la diligence des dirigeants d'entreprise responsables pour prévenir les délits en vertu de la DPA. S'ils étaient impliqués dans un crime ou une négligence grave, ils pourraient être condamnés à une amende et à une peine d'emprisonnement.

L'ACP exige que les personnes occupant des postes de responsabilité dans une société et agissant ou décidant en son nom exercent une supervision ou un contrôle suffisant au sein de la société pour prévenir la cybercriminalité. Ne pas le faire peut entraîner une amende et une responsabilité de la société conformément à ses règles internes.

Le guide de la réglementation bancaire de la Banque centrale des Philippines (BSP) exige que les administrateurs des autorités supervisées par BSP (BSI) comprennent les risques informatiques de BSI et s'assurent qu'ils sont correctement gérés. Les BSI comprennent les banques, les banques non bancaires exécutant des activités quasi bancaires, les émetteurs de monnaie électronique non bancaire et les autres institutions non bancaires soumises à la surveillance du BSP.

Comment votre juridiction définit-elle la cybersécurité et la cybercriminalité?

Le CPA définit la "cybercriminalité" comme les délits énumérés ci-dessus et la "cybersécurité" comme un ensemble d'outils, de stratégies, de méthodes de gestion des risques, d'actions, de formation, de meilleures pratiques, d'application et de technologies pouvant être utilisées pour protéger le cyberenvironnement et les organisations et les utilisateurs. actifs où «cyber» fait référence à un ordinateur ou à un réseau informatique, un support électronique connecté à Internet.

«Confidentialité des données» est un terme DPA qui fait référence aux informations personnelles uniquement en tant que données. Ainsi, la cybersécurité s'étend à d'autres types de données, mais la confidentialité des données s'étend au-delà de l'environnement électronique.

Il n'existe pas de règles de "sécurité des systèmes d'information" comparables à la cybercriminalité.

Quelles sont les garanties minimales que les organisations doivent mettre en place pour protéger les systèmes de données et de technologie de l'information contre la cyberintimidation?

La DPA exige que les responsables du traitement des informations personnelles et leurs sous-traitants incluent dans leurs mesures de sécurité organisationnelles, physiques et techniques raisonnables et appropriées pour lutter contre les traitements accidentels ou illicites et les risques posés par la nature ou les humains, à savoir:

  • des mesures de sécurité pour protéger votre réseau informatique contre une utilisation accidentelle, illégale ou non autorisée ou des interférences ou des interférences avec leur fonctionnement ou leur disponibilité;
  • politiques de sécurité pour le traitement des informations personnelles; et
  • un processus pour identifier et accéder aux vulnérabilités raisonnablement prévisibles dans vos réseaux informatiques et pour prendre des mesures préventives, correctives et atténuantes contre les incidents de sécurité qui peuvent entraîner une violation de la sécurité.

Le NPC exige que toutes les données personnelles traitées numériquement soient cryptées, de préférence en utilisant AES-256, et les mots de passe doivent être appliqués via une politique et un outil de gestion du système. Afin que les agences gouvernementales ou les sous-traitants puissent accéder aux informations personnelles sensibles localement et sur Internet, DAI exige qu'un responsable d'agence source fournisse un certificat de vérification, un lien crypté sécurisé pour l'accès, et une authentification d'identité multifactorielle et un middleware pour un contrôle d'accès complet. Pour obtenir un accès hors site, le responsable d'agence doit approuver une demande de 1 000 enregistrements à la fois dans les deux jours ouvrables et doit utiliser la norme de cryptage la plus sécurisée reconnue par le NPC. Les agences utilisant des données personnelles sur des ordinateurs portables doivent utiliser le chiffrement complet du disque et envoyer des mots de passe à un e-mail séparé. Dans la lettre.

Portée et juridiction

Votre juridiction a-t-elle des lois ou des règlements régissant les compensations de propriété intellectuelle?

L'ECA a été condamnée à une amende et à une peine d'emprisonnement pour piratage ou copie, reproduction, distribution, distribution, importation, utilisation, suppression, altération, altération, altération, conservation, téléchargement, téléchargement, transmission et communication au public ou distribution de matériel protégé, signatures électroniques ou droits d'auteur. les œuvres protégées par des droits, y compris le son ou les phonogrammes protégés par la loi, ou le matériel de référence pour les œuvres protégées, via, mais sans s'y limiter, des réseaux de télécommunications tels qu'Internet d'une manière qui viole les droits de propriété intellectuelle.

Un CPA peut obtenir, induire en erreur, ternir ou disqualifier un nom de domaine contre une acquisition ou un enregistrement de nom de domaine frauduleux si le nom de domaine est:

  • similaire, identique ou trompeuse à une marque existante enregistrée auprès de l'organisme gouvernemental compétent au moment de l'enregistrement du nom de domaine;
  • dans le cas du nom d'une personne, identique ou similaire à celui d'un non-inscrit; et
  • acquis sans intérêt de droit ou de propriété intellectuelle.

Votre juridiction dispose-t-elle de lois ou de réglementations traitant spécifiquement des cybermenaces dans les infrastructures critiques ou des secteurs spécifiques?

CPA pour les amendes les plus sévères et l'emprisonnement pour les crimes impliquant la confidentialité, l'intégrité et la disponibilité des systèmes de données informatiques s'ils sont commis contre une infrastructure critique. Il s'agit des systèmes informatiques, des réseaux, des applications, des données informatiques et des données de trafic qui sont vitales pour les Philippines, dont la destruction, l'inactivité ou les interférences pourraient nuire à la sécurité nationale ou économique, à la santé et à la sécurité publiques nationales ou à toute combinaison de ces éléments. .

Dans la circulaire du mémorandum DICT no. 5 (2017) établit des politiques et des réglementations de sécurité CII basées sur le Plan national de cybersécurité 2022 (NCP2022). La circulaire exige non seulement le respect des normes internationales:

  • chaque CII doit avoir une équipe d'intervention en cas d'urgence informatique (CERT), qui doit faire rapport au DICT en tant que CERT nationale dans les 24 heures suivant la détection;
  • les opérateurs de télécommunications et les FAI mettent en œuvre la cyber-hygiène sur leurs réseaux;
  • Sites Web du CII pour obtenir le sceau de cybersécurité DICT;
  • mettre en œuvre le plan de reprise et le plan de continuité des activités pour les organisations couvertes; et
  • Le DICT organisera une formation électronique annuelle au CII.

De plus, la circulaire du mémorandum DICT no. 7-17 met en œuvre le programme DICT sur l'éducation à la cybersécurité et la compréhension des infrastructures d'informations critiques.

Existe-t-il des lois ou des réglementations en matière de cybersécurité dans votre juridiction qui restreignent spécifiquement l'échange d'informations sur la sécurité des sites Web?

Le manuel DICT CERT pour la création d'un CERT dans une organisation fournit une procédure de communication pour garantir que les informations sensibles ou non sensibles sont communiquées et coordonnées avec les pays et les groupes extérieurs au CERT national. Cette procédure nécessite le consentement écrit de la direction pour divulguer des informations aux médias et au Bureau de cybersécurité pour la communication et le partage d'informations avec les services répressifs.

Quelles sont les principales sanctions contre la cybercriminalité en vertu des lois de votre juridiction?

La «législation» décrit la cybercriminalité commise par l'ACP et la cybercriminalité en vertu de la DPA, de la CEA et de l'ADRA, qui peuvent inclure des cyberactivités pertinentes pour les organisations, car elles peuvent être commises ou exécutées par des organisations (en tant que cibles potentielles).

Comment votre juridiction a-t-elle relevé les défis de sécurité de l'information du cloud computing?

Ils sont principalement traités dans le cadre général de la cybersécurité, les réglementations des secteurs bancaire et gouvernemental et la participation aux initiatives de cybersécurité en tant que membre de l'Union internationale des télécommunications.

BSP nécessite le consentement préalable de l'institution financière supervisée par BSP (BSFI) pour utiliser les services cloud pour la diligence raisonnable du fournisseur de services cloud, la conformité du service avec les exigences de sécurité des données, de confidentialité et de reprise après sinistre, et les dispositions contraignantes du contrat de service. BSP 2017 Les directives avancées sur la gestion de la sécurité de l'information exigent également que la direction de BSFI "comprenne parfaitement la nature de la technologie cloud conformément aux exigences de l'entreprise et s'assure que le niveau de sécurité et de confidentialité des données et autres règles et règlements connexes est respecté" et supervise le prestataire de services de certification " respecte les mesures de sécurité, d'exécution et de fonctionnement, de sauvegarde et de récupération énoncées dans le contrat / accord. "

En plus de mettre en œuvre sa campagne de sensibilisation à la cybersécurité, DICT a publié la circulaire du ministère no. 2017-002 pour réglementer la sécurité des services cloud fournis par le gouvernement grâce à la migration des données via des contrôles de sécurité internationaux et un cryptage accepté par l'industrie; filtrage de sécurité initial et facultatif des fournisseurs de sécurité utilisés pour les données gouvernementales de classe; audit logique de la sécurité de l'accès aux données et surveillance continue de la sécurité pour garantir la confidentialité, l'intégrité et la disponibilité des données.

Comment les lois sur la cybersécurité de votre juridiction affectent-elles les organisations étrangères faisant des affaires dans votre juridiction? Les obligations réglementaires sont-elles les mêmes pour les organisations étrangères?

Les obligations réglementaires des organisations nationales et étrangères faisant des affaires aux Philippines sont les mêmes.

En outre, la DPA s'applique aux actes ou pratiques extraterritoriaux d'une organisation en dehors des Philippines si:

  • l'acte, la pratique ou le processus implique des informations personnelles sur un citoyen ou résident philippin;
  • l'organisation a des liens avec les Philippines; et
  • l'organisation traite des informations personnelles aux Philippines ou même si elles sont traitées en dehors des Philippines si elles sont liées à des citoyens ou résidents philippins.

Bonne pratique

Une protection accrue

Les autorités recommandent-elles une protection supplémentaire en matière de cybersécurité au-delà des exigences légales?

Comme mentionné dans la "législation", le DICT recommande des contrôles de sécurité CSP facultatifs pour la mise en cache des classes de données gouvernementales. Pour les agences gouvernementales traitant des dossiers personnels de plus de 1 000 personnes, l'APN recommande d'utiliser ISO / IEC 27002 comme norme minimale pour évaluer les faiblesses du système de contrôle de la protection des données de l'agence.

Comment le gouvernement encourage-t-il les organisations à améliorer leur cybersécurité?

Dans le cadre du NCP2022, le DICT vise à sensibiliser aux cyberrisques, aux mesures de sécurité et aux partenariats public-privé potentiels pour améliorer la cybersécurité dans le secteur des entreprises. Le gouvernement n'a pas encore particulièrement encouragé les organisations à améliorer leur cybersécurité.

Identifier et décrire les principales normes et codes de pratique de l'industrie qui promeuvent la cybersécurité. Où peuvent-ils être atteints?

Voir aussi: "Législation".

Les meilleures pratiques et procédures de traitement des violations sont-elles généralement recommandées?

Circulaire BSP no. 1019 (2018) établit des rapports et des exigences de rapport pour la technologie BSFI et le cyber-risque. La circulaire fournit des procédures pour signaler les BSP sur les principaux problèmes électroniques, tels que les pertes de données importantes ou les violations de données majeures, les services financiers et les perturbations des opérations.

Dans la circulaire NPC no. 16-03 fournit des directives pour la gestion des violations de données personnelles obligeant les organisations à mettre en œuvre des politiques de gestion des incidents de sécurité pour garantir:

  • la mise en place d'une équipe chargée de la violation des données qui sera responsable de la mise en œuvre de cette politique;
  • la mise en œuvre de mesures et de stratégies de sécurité organisationnelles, physiques et techniques afin de prévenir ou de minimiser les violations de données personnelles et de veiller à ce qu'elles soient détectées en temps opportun;
  • mise en œuvre de la procédure de réponse aux incidents;
  • atténuation des effets néfastes sur les personnes concernées; et
  • respect de toutes les lois et réglementations sur la confidentialité des données.

Partage d'informations

Décrivez les pratiques et procédures d'échange volontaire d'informations sur la cyberintimidation dans votre juridiction. Existe-t-il des incitations légales ou politiques?

Pas encore disponible. Cependant, NCP2022 vise à utiliser les rapports de l'organisation pour développer des outils de cybersécurité et promouvoir le partage d'informations entre le gouvernement et le secteur privé.

Comment le gouvernement et le secteur privé travaillent-ils ensemble pour développer des normes et procédures de cybersécurité?

DICT développe des groupes de travail techniques pour revoir les cours de cybersécurité existants et développe de nouveaux cours pour les intégrer dans les programmes d'ingénierie, d'informatique, de technologie de l'information, de droit et de criminologie. Le NCP2022 comprend la conception et le développement de programmes pour le CERT, les forces de l'ordre, les universités et l'industrie comme l'une des principales initiatives du gouvernement.

Assurances

Votre juridiction a-t-elle une assurance de cybersécurité et est-ce courant?

Seules quelques compagnies d'assurance proposent une assurance contre les violations de données, les interruptions de réseau et la cyberintimidation, ainsi que des amendes pour les obligations administratives liées à la cybersécurité.

Exécution

Réglementation

Quels régulateurs sont principalement responsables de l'application des règles de cybersécurité?

L’unité Cybercriminalité du NBI, l’équipe Cybercrime du PNP, le DOJ-OC, le CICC, le BSP et le NPC appliquent diverses réglementations liées à la cybersécurité.

Décrire les pouvoirs des autorités pour contrôler la conformité, enquêter et poursuivre les infractions.

Le CPA autorise l'unité Cybercriminalité du NBI et l'équipe Cybercrime du PNP à enquêter sur la cybercriminalité. Le DOJ poursuit la cybercriminalité et le DOJ-OC coordonne l'entraide internationale et l'extradition. Le CICC CERT fournit une assistance pour prévenir la cybercriminalité en temps réel et facilite la coopération internationale en matière de renseignement, d'enquêtes, de poursuites et de poursuites. Les autorités chargées de l'application des lois peuvent collecter ou enregistrer des données de trafic ou non trafic en temps réel, sous réserve de l'autorisation du tribunal.

La nouvelle loi sur la banque centrale (loi de la République 7653) confère aux BSP le pouvoir de superviser les opérations bancaires et d'exercer ces pouvoirs réglementaires en vertu des lois des Philippines pour les sociétés financières et les institutions financières non bancaires exerçant des fonctions quasi bancaires et pour les organismes ayant des fonctions similaires.

Le NPC (i) applique et supervise le respect par le gouvernement et le secteur privé de la DPA, enquête et recommande que le DoJ soit poursuivi pour les violations de la DPA; (ii) faciliter l'application transfrontière de la confidentialité des données; et (iii) peut autoriser l'interruption et la résiliation d'ordonnances ou imposer une interdiction temporaire ou permanente du traitement des informations personnelles lorsqu'il détermine que le traitement serait préjudiciable à la sécurité nationale ou à l'intérêt public, ou les deux.

Quels sont les problèmes d'application les plus courants et comment les régulateurs et le secteur privé les ont-ils résolus?

Le NCP2022 identifie les domaines clés suivants du programme pour répondre aux besoins de sensibilisation et de renforcement des capacités dans les secteurs public et privé:

  • La protection des CII par le biais de l'évaluation et de la conformité de la cybersécurité, de la formation et des exercices nationaux sur la cybersécurité et d'une base de données nationale pour le suivi et les rapports
  • la protection des réseaux gouvernementaux grâce à la mise en œuvre du programme national d'intervention d'urgence, du programme de renforcement des capacités et de renforcement des capacités, de la Réserve pour la sécurité de l'information et la cybersécurité, du Center for Threat Intelligence and Analysis Operations, de la protection des opérations gouvernementales électroniques et de la mise à jour des logiciels sous licence;
  • la sécurité de la chaîne d'approvisionnement grâce à la mise en œuvre d'un programme national d'évaluation et de certification des critères communs; et
  • protéger les individus grâce à des compétences d'apprentissage et de développement accélérés, un projet de sensibilisation à la cybersécurité, un mois national de sensibilisation à la cybersécurité, doter le gouvernement de capacités techniques pour protéger et protéger le cyberespace et des programmes de coopération locaux et internationaux.

La Cour suprême a également noté la nécessité de procédures d'exécution des mandats judiciaires, en particulier pour les enquêtes et les poursuites en matière de cybercriminalité.

Conformément à l’adhésion du pays à la Convention sur la cybercriminalité de 2018, la question de l’application de la loi contre la cybercriminalité commise par des acteurs ou des plateformes en ligne en dehors du territoire philippin se poursuit en collaboration plus étroite avec des organismes d’autres juridictions.

Quelles sont les obligations réglementaires de déclaration pour les entreprises suite à des violations de la cybersécurité? Les personnes concernées doivent-elles être informées?

En général, tous les CII identifiés doivent être signalés au DICT en tant que CERT national dans les 24 heures suivant la détection des incidents de cybersécurité. Voir aussi: "Portée et compétence".

NPC Circular no. 16-03 Le chapitre 22 exige que tous les incidents de sécurité, qu'ils contiennent ou non des informations personnelles, soient documentés dans des rapports écrits, qui doivent inclure les faits de l'incident, les conséquences de l'incident et les mesures correctives. Ces rapports doivent être mis à la disposition du CNP sur demande. L'APN doit également fournir un rapport annuel résumant les violations rencontrées au cours de l'année.

Le responsable du traitement des informations personnelles doit informer le NPC dans les 72 heures après avoir pris connaissance ou raisonnablement certain qu'une violation des données personnelles s'est produite dans les circonstances suivantes:

  • les données personnelles comprennent les informations personnelles sensibles ou toute autre information pouvant être utilisée à des fins de fraude d'identité;
  • il y a des raisons de croire que des informations auraient pu être obtenues par des personnes non autorisées; et
  • Le PIC, ou NPC, estime qu'une acquisition non autorisée pourrait causer de graves dommages à toute personne concernée.

Dans des circonstances similaires où le PNJ doit être déclaré, le responsable du traitement doit également informer les personnes concernées dans les 72 heures si elles prennent connaissance ou pensent raisonnablement qu'une violation des données personnelles s'est produite. Le NPC peut dispenser le responsable du traitement des informations personnelles de l'obligation de notification s'il détermine que l'avis n'est pas dans l'intérêt public ou dans l'intérêt des personnes concernées.

Amendes

Quelles amendes peuvent être imposées en cas de non-respect des règles de violation de la cybersécurité?

En général, les sanctions consistent en des amendes et des peines de prison.

Quelles sanctions peuvent être imposées en cas de non-respect des règles relatives au signalement des menaces et des infractions?

Le fait de ne pas signaler à BSI les violations de la sécurité de l'information, dans des cas particuliers impliquant l'utilisation de canaux électroniques, peut entraîner des amendes, la suspension des privilèges de BSI ou l'accès aux facilités de crédit de la Banque centrale et la révocation d'une licence quasi bancaire. Les fournisseurs de services Internet et les hébergeurs Web qui ne signalent pas la pornographie juvénile à la police risquent des amendes et des peines de prison. Pour les violations impliquant des informations personnelles, le NPC n'a pas encore prévu de sanctions pour non-déclaration.

Comment les parties peuvent-elles saisir les tribunaux pour activité électronique non autorisée ou protection inadéquate des systèmes et des données?

DPA accorde aux personnes concernées le droit d'être indemnisées pour les dommages causés par un accès inexact, incomplet, obsolète, faux, illégal ou une utilisation illégale des informations personnelles. Des demandes de dommages et intérêts peuvent être déposées auprès du NPC.

Les parties peuvent prévoir des dommages-intérêts dans le contrat et demander des dommages-intérêts pour rupture de contrat. La loi sur la responsabilité délictuelle des Philippines autorise les demandes de dommages-intérêts résultant d'actes ou d'omissions impliquant une négligence ou des actions pour violation des droits constitutionnels d'autres individus ou individus. Les réclamations peuvent être déposées devant les tribunaux ou par le biais de modes alternatifs de résolution des conflits.

Détection et signalement des menaces

Politiques et procédures

Quelles stratégies ou procédures les organisations doivent-elles mettre en œuvre pour protéger les données ou les systèmes informatiques contre les cyber-maladies?

Un CERT qui répondra aux cyberattaques est exigé de tous les bureaux, bureaux, agences et installations gouvernementales.

Pour protéger les données personnelles, les PNJ exigent des organisations qu'elles établissent des politiques de gestion des incidents de sécurité qui incluent:

  • une évaluation de l'impact sur la vie privée pour déterminer les risques du traitement des données personnelles, qui devrait prendre en compte la taille et la sensibilité des données personnelles traitées, ainsi que l'impact et les dommages potentiels d'une violation de données personnelles;
  • une politique de gestion des données garantissant le respect des principes de transparence, de finalité légitime et de proportionnalité;
  • mettre en œuvre des mesures de sécurité appropriées pour protéger la disponibilité, l'intégrité et la confidentialité des données personnelles traitées;
  • surveillance régulière des failles de sécurité et analyse des vulnérabilités des réseaux informatiques;
  • renforcement des capacités du personnel pour garantir la connaissance des principes de gestion des violations de données et des procédures internes en cas d'incidents de sécurité; et
  • une procédure pour l'examen régulier des politiques et procédures, y compris la vérification, l'évaluation et l'évaluation de l'efficacité des mesures de sécurité.

Des mesures de sécurité telles que la mise en œuvre de solutions de sauvegarde, le contrôle d'accès et les fichiers journaux sécurisés, le chiffrement, la suppression des données et les politiques de restitution sont nécessaires pour garantir la disponibilité, l'intégrité et la confidentialité des données personnelles traitées.

Décrivez les règles qui obligent les organisations à conserver des enregistrements des cybermenaces ou des attaques.

Le NPC exige que toute action entreprise par le responsable du traitement ou le sous-traitant des informations personnelles soit dûment documentée par le délégué à la protection des données en cas de violation des données personnelles.

Décrire les règles qui obligent les organisations à signaler les violations de la cybersécurité aux autorités réglementaires.

BSI turi pranešti apie informacijos saugumo pažeidimus, ypač įvykius, susijusius su elektroninių kanalų naudojimu. Atsižvelgiant į incidento pobūdį ir rimtumą, BSP gali reikalauti, kad BSI pateiktų papildomos informacijos arba atnaujintų pranešimų apie įvykį, apie kurį pranešta, kol klausimas bus galutinai išspręstas. BSFI privalo pranešti BSP apie svarbius su kibernetine veikla susijusius įvykius, tokius kaip reikšmingi duomenų praradimai ar masiniai duomenų pažeidimai bei finansinių paslaugų ir operacijų sutrikdymas.

Kovos su pornografija įstatyme reikalaujama, kad interneto paslaugų teikėjai ir interneto šeimininkai praneštų policijos įstaigoms apie pažeidimą, padarytą naudojantis jo serveriu ar įrenginiu, ir saugo tokio pažeidimo įrodymus.

DAI reikalauja, kad NPC būtų pranešta apie asmens duomenų pažeidimus.

Laiko rėmai

Koks yra ataskaitų valdžios institucijoms pateikimo laikas?

BSFI per dvi valandas nuo svarbaus kibernetinio incidento ir finansinių paslaugų bei operacijų sutrikimo nustatymo turi pateikti BSP ataskaitą, o per 24 valandas nuo atradimo – tolesnių veiksmų ataskaitą. Bendrovės, užsiimančios prieigos įrenginių išdavimu, turi pateikti metinę ataskaitą Filipinų kreditinių kortelių asociacijai apie prieigos įrenginių sukčiavimą. Interneto paslaugų teikėjai ir interneto šeimininkai per septynias dienas nuo atradimo privalo pranešti policijos institucijoms apie bet kokią jų sistemoje esančią vaikų pornografijos formą. Asmeninės informacijos valdytojas arba asmeninės informacijos tvarkytojas privalo pranešti NPK per 72 valandas, sužinojęs apie asmens duomenų pažeidimą arba pagrįstai įsitikinęs, kad tai padaryta.

Ataskaitų teikimas

Apibūdinkite visas taisykles, pagal kurias reikalaujama, kad organizacijos praneštų apie grėsmes ar pažeidimus kitiems pramonės, klientams ar plačiajai visuomenei.

Be NPC reikalaujamo pranešimo apie asmens duomenų pažeidimus duomenų subjektui, nėra taisyklių, kaip pranešti apie grėsmę ar pažeidimus kitiems pramonės, klientams ar visuomenei.

Atnaujinimas ir tendencijos

Atnaujinimas ir tendencijos

Kokie yra pagrindiniai iššūkiai kuriant kibernetinio saugumo taisykles? Kaip įmonės gali padėti sukurti palankią reguliavimo aplinką? Kaip, jūsų manymu, kibernetinio saugumo įstatymai ir politika keisis per ateinančius metus jūsų jurisdikcijoje?

Kadangi Filipinų kibernetinio saugumo įstatymai yra palyginti nauji dalykai, žinios apie kibernetinio saugumo poreikį ir atitinkami įstatymai ir kiti teisės aktai tebėra pagrindinis valdžios institucijų iššūkis. The NCP2022 will continue to dictate the changes in policies and regulations over the next few years as it progresses from capacity building to corrective enforcement. Collaboration with the government by private companies on rule-making and compliance, to help deal with the constant cybersecurity threats to their operations and the potential financial risks, should encourage a favourable regulatory environment.

Law Stated Date

Correct On

Give the date on which the information above is accurate.

December 2019

La cybersécurité aux Philippines – Lexologie ® mutuelle santé entreprise
4.9 (98%) 32 votes