REGULACIONES

CREACION

- Ley Sarbanes Oxley (SOX)

se produjo en respuesta a escándalos financieros a principios de la década de 2000 que
involucraron a empresas que cotizan en bolsa como Enron Corporation, Tyco International plc y
WorldCom.Estos fraudes afectaron la confianza de los inversionistas es por esto que esta ley
fue encaminada a restablecer esta confianza en los mercados de valores y sobretodo en los
reportes sobre la información financiera.

- HIPAA ( Ley de Portabilidad y Responsabilidad de Seguro Médico)

Creada por la necesidad de mantener la confidencialidad sobre la información médica del
paciente, esta ley reúne la responsabilidad de los prestadores de salud, centros de intercambio
de información sobre el paciente y los asociados de negocios que transmiten de forma
electrónica información sobre salud o cosas relacionadas a historias clínicas, inscripción o
facturación.

- PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago)

Se creó para gestionar y proteger en sí la información sensible de las tarjetas de crédito y
débito. Este estándar de seguridad establece lo que son controles de ciberseguridad y prácticas
de negocio que cualquier empresa que acepte pagos con tarjeta de crédito debe implementar,
bueno todo esto con el fin de dar la protección necesaria a los datos del titular de la tarjeta y/o
datos confidenciales.

DISPOSICIONES / REQUISITOS

- Ley Sarbanes Oxley (SOX)

Cada una de sus disposiciones principales son comúnmente referidas por sus números de
sección, entre estos destacan la
sección 101 (se crea una entidad de control que será encargado de revisar la auditoría de las
compañías públicas que están sujetas a las leyes de seguridad )
Seccion 302 (exige que los funcionarios corporativos superiores certifiquen los estados
financieros, de manera personal y por escrito, de esta forma dar fe por así decirlo de la calidad
de los informes financieros)
Seccion 401 (se refiere a las condiciones que deben cumplir los estados financieros publicados.
Estos informes financieros deben ser precisos y presentarse de una manera que no contengan
declaraciones incorrectas)
Seccion 404 (se refiere al control interno. Los emisores deben publicar datos en sus informes
anuales sobre el alcance o sobre su estructura de control interno, Así también lo que son los
procedimientos para su emisión de información financiera).
Seccion 409 (establece lo que es una obligación de informar de manera pública y con urgencia
cambios drásticos en la situación financiera de las empresas. Estas revelaciones pues deben
presentarse en términos que sean fáciles de entender, así como con información respaldada de
sus proyecciones.)
 Seccion 802 (se describen lo que son las multas y las penalizaciones. Se condena la alteración,
destrucción en una parte o también total de los registros y documentos financieros)
Seccion 906 ( se requiere la presentacion de un informe periódico que va a contener los
estados financieros que serán registrados por un emisor, esta declaración debe certificar que el
informe periódico que contiene los estados financieros cumple verdaderamente los requisitos
establecidos)

- HIPAA ( Ley de Portabilidad y Responsabilidad de Seguro Médico)

Las principales disposiciones de la ley HIPAA se materializan en tres reglas: privacidad,
seguridad y reglas de notificación de violación.
La Regla de Privacidad establece normas para la protección de la información de salud
protegida y se les da a los pacientes derechos importantes con respecto a su información
relacionada con la salud.
La Regla de Seguridad establece garantías que deben implementar las entidades y sus socios de
negocios para proteger la privacidad, la integridad y la seguridad de la información de salud
protegida electrónica.
La regla del incumplimiento de la notificación de violación requiere que las entidades
notifiquen a los individuos afectados, el gobierno, y en algunos casos, los medios de
comunicación de una violación de la información de salud protegida no asegurada.

- PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago)

El estándar PCI DSS establece 12 requisitos, por nombrar algunos

- Instalar y mantener una configuración de firewall para así proteger los datos del titular
de la tarjeta.
- No utilizar lo que son los valores predeterminados proporcionados por el proveedor
para las contraseñas del sistema y otros parámetros.
- Utilizar y actualizar de manera regular el software antivirus.
- Desarrollar y mantener sistemas y aplicaciones seguros.

A QUIENES SE APLICAN

- Ley Sarbanes Oxley (SOX)

Se aplica a empresa públicas, ya sean norteamericanas o extranjeras, cuyos valores se transan
en bolsas de valores de los EE.UU.

- HIPAA ( Ley de Portabilidad y Responsabilidad de Seguro Médico)

Se aplica a cualquier persona o entidad que maneje información relacionada con la atención de
un paciente, ya sea que presten servicios de facturación o cobro, registros de atención médica y
cosas relacionadas con el tratamiento de la información médica de un individuo.

- PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago)

Se aplica a personas, Organizaciones, procesos y tecnologías en el cual se procesan, almacenan
o transmiten datos de los titulares de tarjetas de crédito o débito como (es, MasterCard, VISA,
American Express.
REQUERIMIENTOS

- Ley Sarbanes Oxley (SOX)

 Las empresas se hagan cargo del mantenimiento de sus registros, además del control del
proceso de almacenamiento de la información. Esto con el propósito de permitir un seguimiento y
revisión de las transacciones.
 Los departamentos de TI establezcan protocolos de autenticación tanto para el
almacenamiento y para la recuperación de la información. Y De esta forma asignar responsabilidades a
unidades y personas específicas dentro de la organización
 Protección a los empleados que denuncian fraude o declaran ante los tribunales contra sus
jefes, las empresas no pueden cambiar términos y condiciones de su empleo. No pueden
despedir o poner en lista negra al empleado.

- HIPAA ( Ley de Portabilidad y Responsabilidad de Seguro Médico)

1. Garanticen los derechos a la privacidad del paciente:

Asegurando que los pacientes puedan ver y obtener copias de sus expedientes así como
solicitar correcciones;
Obtengan el consentimiento del paciente antes de compartir su información para
tratamiento, pago o actividades del cuidado médico;
2. Adopten procedimientos de privacidad por escrito que incluyan: por ejemplo
Quién tiene acceso a la información protegida,
Cómo se utilizará dentro de la agencia y
Cuándo la información se revelará.
3.Se aseguren que los asociados del negocio protejan también la privacidad de la información.
4.Enseñen a los empleados los procedimientos de privacidad del proveedor y a la vez Designar
un responsable de privacidad que se asegure que los procedimientos de seguridad se cumplen.

- PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago)

Proteger los datos almacenados de los propietarios de tarjetas, Cifrar lo que son los datos de
los propietarios de tarjetas y tambien información confidencial transmitida a través de redes
públicas abiertas.

Desarrollar y mantener sistemas y aplicaciones seguras.

Usar y actualizar regularmente un software antivirus.

Comprobar los certificados SSL/TLS, software de comercio electrónico, y de esta forma

Mantener una política que contemple la seguridad de la información

NO CUMPLIMIENTO

- Ley Sarbanes Oxley (SOX)

Tiene como consecuencia sentencias de prisión y también grandes multas tanto para los altos
ejecutivos y para la propia empresa .

- HIPAA ( Ley de Portabilidad y Responsabilidad de Seguro Médico)

Trae sanciones económicas considerables y también sentencias de prisión.

- PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago)

Trae como consecuencia la Pérdida de la confianza de parte de los clientes, así como elevadas
multas a los responsables y por esto sobrecostos para la empresa.

QUÉ IMPACTO HA TENIDO

- Ley Sarbanes Oxley (SOX)

Por esta ley se impusieron sanciones mucho más estrictas y unos costos significativos para las empresas en cuanto a
implementación de procesos para poder cumplirla.

Ha servido para aumentar lo que es unas actividades y trámites que hay que seguir para resolver asuntos financieros
de mano de los procesos de desarrollo de software.

- HIPAA ( Ley de Portabilidad y Responsabilidad de Seguro Médico)

Pues con esta ley las entidades relacionadas a la salud han tenido que volver a evaluar las técnicas que utilizan para
almacenar, transmitir y comunicar los registros de los pacientes.

También gracias a esta ley se brinda a los pacientes más control sobre la forma en cómo se usa la información sobre
su salud.

- PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago)

Pues con esto se ha reducido el fraude y las diferentes posibilidades de una violación de las políticas de acceso a la
información.

También se ha tenido un cambio en el enfoque de cada desarrollador de software de procesamiento de pagos con
tarjeta.