Gramm-Leach-Bliley Act (GLBA, GLB Zákon nebo Financial Services Modernization Act of 1999) je Spojené Státy federální zákon vyžaduje, aby finanční instituce, aby vysvětlit, jak sdílet a chránit jejich zákazníků neveřejné osobní informace (NPI).

GLBA také zrušené části Glass-Steagall Act z roku 1993 a the Bank Holding Company Act z roku 1956 (BHCA), odstranění překážek pro bankovnictví, cenné papíry a pojišťovny jednat jako jakákoli kombinace investiční banky, obchodní banky a pojišťovny.,

jaký je účel zákona Gramm-Leach-Bliley?

primárním zájmem GLBA je zajistit důvěrnost zákazníků osobně identifikovatelné informace (PII) a finančních informací tím, že po určité soukromí a bezpečnost normy:

  • Soukromí normy: Zákazníci musí být informováni o sdílení informací, postupů a za předpokladu, s způsob, jak opt-out zbytečných sdílení, viz U. S. C Název 15 (a) Kap., 6801
  • Bezpečnostní standardy: informační bezpečnostní politiky určené k zajištění důvěrnosti, integrity a dostupnosti zákaznických záznamů a informací; chránit zákazníka záznamy z předpokládané kybernetických útoků, kybernetické hrozby a jiných vektorů útoku; a chránit proti neoprávněnému přístupu nebo použití záznamů zákazníka nebo informace, které by mohly způsobit škodu nebo nepříjemnosti pro zákazníka, např. narušení dat a úniku dat, viz U. S. C Název 15 (b) Kap., 6801

GLBA byl dává Consumer Financial Protection Bureau (CFPB), Komise pro cenné Papíry (SEC), Komoditní Futures Obchodování Komise (CFTC), Federální Obchodní Komise (FTC), federální bankovní agentury, federální regulační agentury a státní pojištění, dohled agentury, schopnost zavést další předpisy k zajištění odpovídajícího soukromí předpisy a bezpečnostní předpisy. To znamená, že státní právo může vyžadovat větší dodržování, ale ne méně než to, co je jinak vyžadováno GLBA.

kdo je regulován GLBA?,

GLBA se vztahuje na finanční instituce, jakýkoli podnik nabízející finanční produkty a služby jednotlivcům, jako jsou půjčky, finanční poradenství, investiční poradenství nebo pojištění. Stejně jako omezené povinnosti některých třetích stran, které dostávají neveřejné osobní údaje (NPI) od regulovaných finančních institucí GLBA.,

Příklady finančních institucí patří:

  • Non-bank hypoteční věřitelé
  • odhadci nemovitostí
  • Úvěr makléři
  • Některé finanční nebo investiční poradci
  • Dluh kolektory
  • Daňové přiznání zpracovatele
  • Banky
  • Real estate urovnání služeb

Jako GLBA je zaměřena na údaje o zákaznících, finanční instituce, kteří poskytují pouze služby s jinými podniky, na něž se nevztahuje GLBA. Ani jednotlivec, který používá bankomat nebo inkasuje šek, protože neexistuje žádný Trvalý vztah se zákazníky.,

co jsou neveřejné osobní údaje (NPI)?

Neveřejné osobní informace (NPI) je všechny osobně identifikovatelné informace (PII) a finanční informace, které:

  • Poskytovány zákazníkovi finanční instituce
  • Vyplývající z transakcí se zákazníkem nebo jakékoli služby poskytované zákazníkovi
  • Jinak získané finanční instituce

Informace, které jsou veřejně dostupné, nebo informace, že finanční instituce má dostatečné důvody domnívat se, není neveřejné osobní informace (NPI)., To znamená, že informace, které jsou obecně veřejné, ale byly soukromé (např. mají neuvedené telefonní číslo), musí být považovány za neveřejné.,číslo, rodinný stav, výše úspor nebo investic, platební historii, úvěr nebo vklad, zůstatek, kreditní nebo debetní kartou nákupy, čísla účtů nebo consumer reports

  • skutečnost, že jedinec má účet u konkrétní finanční instituce
  • seznam, popis a sdružení zákazníků, který je odvozen pomocí kombinace neveřejné osobní informace (NPI) a veřejně dostupné informace,
  • veškeré informace na finanční instituce získala v průběhu vztahu se zákazníkem nebo získané prostřednictvím cookies

    • Jaké jsou výhody GLBA souladu?,

    dodržování GLBA je požadavkem pro většinu finančních institucí ve Spojených státech. Snižuje také riziko sankcí a poškození pověsti způsobené porušením dat a únikem dat. Průměrné náklady na narušení dat, dosáhl $3.92 milionů celosvětově, to platí, aby se zabránilo narušení bezpečnosti údajů.

    dodržování GLBA může také pomoci s dodržováním obecného nařízení Evropské unie o ochraně osobních údajů (GDPR), které bylo vymahatelné 25.května 2018., GDPR povides ustanovení o shromažďování údajů, práva na přístup, práva na výmaz, právo na omezení zpracování a právo na přenositelnost údajů.,rotection výhody, jako je:

    • Soukromé nebo citlivé informace budou zabezpečeny proti neoprávněnému přístupu
    • Zákazníci jsou informováni o soukromé sdílení informací mezi finančními institucemi a třetími stranami, a mít možnost opt-out, pokud je to žádoucí
    • Uživatel a zaměstnanec aktivity jsou sledovány včetně jakékoli pokusy o přístup citlivé informace, nebo chráněné záznamy

    Tyto výhody zlepšit pověst vaší organizace a zvýšit důvěru zákazníků, což vede k větší věrnost zákazníků, nižší churne, vyšší hodnota životnosti a méně regulační pokuty.,

    nadnárodní povaha bankovnictví a možná implementace odpovídající regulace v některých státech USA znamená, že finanční instituce musí brát zákony na ochranu soukromí a údajů vážně.

    jaké jsou hlavní složky zákona Gramm-Leach-Bliley?,

    Existují tři hlavní složky GLBA, navržen tak, aby pracovat společně, aby se upravují sběr, zpřístupnění a ochranu zákazníků neveřejné osobní informace (NPI), a to:

    • Finanční Soukromí Pravidlo: Omezuje sdílení neveřejných osobních informací (NPI) o individuální a vyžaduje, aby finanční instituce poskytnout každému spotřebiteli oznámení o ochraně soukromí na začátku vztahu se zákazníkem a poté každoročně.,
    • Záruky Pravidlo: Vyžaduje, aby finanční instituce, aby vytvořily informační bezpečnosti, plán, který popisuje, jak společnost připravuje a plánuje pokračovat v ochraně zákazníků a bývalých zákazníků neveřejné osobní informace (NPI).
    • Pretexting Protection: Pretexting nebo sociální inženýrství nastane, když se někdo pokusí získat přístup k neveřejným osobním údajům bez oprávnění k tomu. To může znamenat požadavek na soukromé informace tím, že se vydáte za držitele účtu telefonicky,poštou nebo phishingem nebo phishingem., GLBA podporuje organizace k provádění záruk proti pretextování.

    jaké je pravidlo finančního soukromí GLBA?

    GLBA Finanční Soukromí Pravidlo omezuje sdílení neveřejných osobních informací (NPI) a vyžaduje zákazníci mají být uvedeny v oznámení o ochraně soukromí na začátku vztahu se zákazníkem a poté každoročně.,

    oznámení popisuje, jaké informace jsou shromažďovány, kde se sdílejí informace, jak informace se používají a jak je chráněn, stejně jako zvýraznění zákazník má právo odhlásit sdílení informací s nonaffiliated třetích stran podle ustanovení Fair Credit Reporting Act.

    Pokud se změní zásady ochrany osobních údajů finanční instituce, budou zákazníci informováni o přijetí změn. Když je oznámení o ochraně osobních údajů obnoveno, má spotřebitel právo se znovu odhlásit.,

    Když zákazníci souhlasí, aby jejich údaje byly sdíleny s unaffiliated stran, které nejsou filiálkami strany musí zpracovat informace v souladu s původní oznámení o ochraně osobních údajů dohody.

    stručně řečeno, pravidlo o finančním soukromí poskytuje dohodu o ochraně osobních údajů mezi finanční institucí a zákazníkem týkající se ochrany jejich neveřejných osobních údajů (NPI).,

    důležitá věc je pochopit, že sdílení s partnery (každá společnost ovládající, ovládané nebo pod společnou kontrolou), se nevztahuje právo na opt-out, ale zákazníci musí být informováni o ochraně osobních údajů.

    Unaffiliated strany, které jsou vyloučeny z práva na opt-out zahrnují spotřebitelské zpravodajské agentury, prodejci třetích stran, jejichž jediným účelem je provádět marketing pro finanční instituce a účastníci v private label kreditní karty programy, kde účastníci jsou identifikovány, aby se zákazník při vstupu do programu.,

    jaké je pravidlo ochrany GLBA?

    Záruky Pravidlo vyžaduje, aby finanční instituce rozvíjet, provádět a udržovat komplexní informace bezpečnostní plán, který nastiňuje administrativní, technická a fyzická bezpečnostní opatření, které jsou vhodné pro velikosti a složitosti organizace a její finanční činnosti.,inst předvídatelných rizik

  • Pravidelné testování aktuální ovládací prvky, systémy a postupy
  • Hodnocení a úpravy programu na základě testování a sledování, změny v podnikatelské činnosti nebo ujednání a jiné události významný vliv, jako jsou jak citlivé údaje jsou shromažďovány, uchovávány nebo používány

    • stručně řečeno, Záruky Právní síly finančních institucí, aby se blíže podívat na jejich bezpečnost informací, zabezpečení dat, bezpečnost sítě a kybernetická bezpečnost, aby se rozvíjet porozumění v oblasti kybernetické bezpečnosti rizik jejich aktuální ovládací prvky, systémy a postupy.,

    Chcete-li zabránit úniku neveřejných osobních údajů (NPI), investujte do produktu kybernetické bezpečnosti, abyste automaticky prohledali uniklé pověření a datové expozice.

    jaká je ochrana GLBA Pretexting?

    Pretexting neboli sociální inženýrství označuje, kdy se jednotlivec pokouší získat přístup k informacím o zákaznících pod falešnými záminkami.

    to by mohlo být výsledkem vydávání se za zákazníka telefonicky, e-mailem nebo prostřednictvím e-mailových spoofingových phishingových nebo oštěp phishingových kampaní.,

    GLBA Pretexting Protection povzbuzuje organizace k provádění záruk proti sociálnímu inženýrství.

    například finanční instituce může v rámci svého celkového programu zabezpečení informací zaměstnávat školení informovanosti o sociálním inženýrství, aby snížila riziko, že zaměstnanci poškodí soukromí spotřebitelů v důsledku útoků na sociální inženýrství.

    další kontroly ochrany soukromí mohou zahrnovat OPSEC a nakládání s odpady.

    Přečtěte si více o společných obranných mechanismech sociálního inženýrství.

    jaké jsou požadavky na řízení rizik dodavatele GLBA?,

    Pod GLBA, finančních institucí, kteří zveřejňovat neveřejné osobní informace (NPI), aby třetí strany prodávající nebo poskytovatel služby musí vstoupit do smluvního ujednání zakazující zveřejnění nebo použití citlivé informace jiné než pro účely, pro které instituce zveřejnit informace, např. marketingu.,

    To znamená, že finanční instituce jsou povinny dohlížet na poskytovatele služeb tím, že:

    • při přiměřené kroky, aby vybrat a udržet poskytovatelů služeb, kteří jsou schopné udržovat vhodné záruky pro zákazníka informace
    • Smluvně vyžadují, aby poskytovatelé služeb zavést a udržovat záruky

    Vyhněte se prodejci bez SOC 2 věrohodnosti a zvážit investice do kybernetické bezpečnosti nástroj, který může automatizovat dodavatele, řízení rizik tím, že sledování vašich dodavatelů zabezpečení výkonu okamžitě přiřazuje jim bezpečnostní hodnocení., To umožní vašemu týmu rizik dodavatelů nejprve napravit nejrizikovější dodavatele.

    Tyto nástroje mohou poskytnout prodávající hodnocení rizik dotazník šablony a pomoci vaší organizaci vyvinout robustní třetích stran rámce pro posouzení rizik na základě GLBA požadavků a jiných rámců, jako je ISO 27001 a NIST Rámec Kybernetické bezpečnosti.

    Přečtěte si více o řízení rizik dodavatele.

    jaké jsou sankce za nedodržení GLBA?,

    Non-compliance sankce patří:

    • $100,000 pokuta za každé porušení pro finanční instituce
    • 10 000 dolarů pokuty za každé porušení pro jednotlivce
    • Až 5 let ve vězení pro jednotlivce

    Jak UpGuard může pomoci s GLBA souladu

    Společnosti, jako je Intercontinental Exchange, Taylor Fry, New York Stock Exchange, IAG, První Stát Super, Akamai, Morningstar a NASA používat UpGuard chránit jejich data, zabránit narušení dat, sledování zabezpečení a vyhnout se malware.,

    Jsme odborníci v narušení dat a úniku dat náš výzkum byl vystupoval v New York Times, Wall Street Journal, Bloomberg, Washington Post, Forbes, Reuters a Techcrunch.

    UpGuard Dodavatele Riziko lze minimalizovat množství času, který vaše organizace tráví správu třetích stran vztahy tím, že automatizuje dodavatele dotazníky a trvalé sledování dodavatelů bezpečnostních držení těla v průběhu času, zatímco benchmarking je proti jejich průmyslu.,

    Každý prodejce je hodnocen proti 50+ kritéria jako přítomnost SSL a DNSSEC, stejně jako riziko domény únos, man-in-the-middle útoky a e-mail spoofing, phishing.

    každý den naše platforma hodnotí vaše dodavatele s hodnocením kybernetické bezpečnosti z 950. Budeme vás varovat, pokud jejich skóre klesne.

    UpGuard BreachSight může pomoci monitor pro DMARC, bojové typosquatting, se zabránilo narušení dat a úniku dat, aby se zabránilo regulační pokuty a chrání vaši důvěru zákazníků prostřednictvím počítačové bezpečnosti hodnocení a kontinuální expozice detekce.,

    Pokud chcete vidět, jak se vaše organizace hromadí, získejte zdarma Hodnocení kybernetické bezpečnosti.

    zarezervujte si demo ještě dnes.