Gramm-Leach-Bliley Act (GLBA, GLB Act eller Financial Services moderni Modernizationation Act fra 1999) er en amerikansk føderal lov, der kræver, at finansielle institutioner forklarer, hvordan de deler og beskytter deres kunders ikke-offentlige personlige oplysninger (NPI).

GLBA ophævede også en del af Glass-Steagall Act of 1993 og Bank Holding Company Act of 1956 (BHCA) og fjernede hindringer for banker, værdipapirer og forsikringsselskaber til at fungere som enhver kombination af en investeringsbank, forretningsbank og forsikringsselskab.,

Hvad er formålet med Gramm-Leach-Bliley Act?

Den primære bekymring af GLBA er at sikre fortroligheden af kunders personligt identificerbare oplysninger (PII) og finansielle oplysninger, ved at følge bestemte privatliv og sikkerhed standarder:

  • beskyttelse af Personlige oplysninger standarder: Kunder skal anmeldes til udveksling af oplysninger praksis og forsynet med en måde at fravælge unødvendige dele, se U. S. C Afsnit 15 (a) i Sek., 6801
  • Sikkerhed standarder: Har en informationssikkerhedspolitik, der er designet til at sikre fortrolighed, integritet og tilgængelighed af kundeoplysninger og oplysninger; beskytte kundernes registreringer fra forventede cyber-angreb, cyber-trusler og andre angrebsmetoder, og beskytter mod uautoriseret adgang til eller brug af kundens registreringer eller oplysninger, der kan resultere i skade eller ulempe for kunden, fx brud på data og data lækager, se U. S. C Afsnit 15, litra b) Sek., 6801

GLBA var der giver Consumer Financial Protection Bureau (CFPB), Securities Exchange Commission (SEC), Commodity Futures Trading Commission (CFTC), Federal Trade Commission (FTC), federal bank bureauer, føderale regulerende kontorer og offentlige rejsesygesikring tilsyn agenturer, mulighed for at gennemføre yderligere regler for at sikre en passende fortrolighedsbestemmelser og sikkerhed. Når det er sagt, kan statens lovgivning kræve større overholdelse, men ikke mindre end hvad der ellers kræves af GLBA.

Hvem er reguleret af GLBA?,

GLBA gælder for finansielle institutioner, enhver virksomhed, der tilbyder finansielle produkter og tjenester til enkeltpersoner som lån, finansiel rådgivning, investeringsrådgivning eller forsikring. Samt begrænsede forpligtelser for visse tredjeparter, der modtager ikke-offentlige personlige oplysninger (NPI) fra GLBA-regulerede finansielle institutioner.,

Eksempler på finansielle institutioner omfatter:

  • Ikke-bank, realkredit långivere
  • Fast ejendom bedømmere
  • Lån mæglere
  • Nogle finansielle eller investeringsrådgivere
  • Gæld samlere
  • selvangivelse regnskabsaflæggere
  • Banker
  • Fast ejendom forlig udbydere

Som GLBA er fokuseret på kunde-data, finansielle institutioner, som kun levere tjenesteydelser til andre virksomheder, er ikke omfattet af GLBA. Det er heller ikke en person, der bruger en pengeautomat eller indbetaler en check, fordi der ikke er noget løbende kundeforhold.,

hvad er ikke-offentlige personlige oplysninger (NPI)?

ikke-offentlige personlige oplysninger (NPI) er alle personligt identificerbare oplysninger (PII) og finansielle oplysninger, der er:

  • Leveret af kunden for den finansielle institution
  • , som hidrører fra transaktioner med kunden eller enhver tjeneste, der leveres til kunden
  • Andet opnået ved den finansielle institution

Oplysninger, der er offentligt tilgængelige, eller oplysninger, som den finansielle institution, der har et rimeligt grundlag for at tro er, er ikke ikke-offentlige personlige oplysninger (NPI)., Når det er sagt, skal oplysninger, der generelt er offentlige, men er blevet gjort private (f.eks.,mber, ægteskabelig status, mængde af opsparing eller investeringer, betaling historie, lån eller depositum balance, kredit-eller betalingskort betalinger med kreditkort, kontonumre eller forbruger rapporter

  • Det faktum, at den enkelte har en konto med et bestemt pengeinstitut
  • liste, beskrivelse eller gruppering af kunder, der er fremstillet ved hjælp af en kombination af ikke-offentlige personlige oplysninger (NPI) og offentligt tilgængelige oplysninger
  • Alle oplysninger, som den finansielle institution har opnået i løbet af de kundeforhold eller indsamles via cookies

    • Hvad er fordelene ved GLBA compliance?,

    GLBA overholdelse er et krav for de fleste finansielle institutioner i USA. Det sænker også risikoen for sanktioner og omdømme skader forårsaget af brud på data og data lækager. Med de gennemsnitlige omkostninger ved et dataovertrædelse, der når $ 3.92 millioner globalt, betaler det sig for at forhindre dataovertrædelser.

    GLBA-overholdelse kan også hjælpe med overholdelse af EU ‘ s generelle databeskyttelsesforordning (GDPR), som blev eksigibel i 25 maj 2018., GDPR indeholder bestemmelser om dataindsamling, ret til adgang, ret til sletning, ret til begrænsning af behandling og ret til dataportabilitet.,rotection fordele som:

    • Private eller følsomme oplysninger er sikret mod uautoriseret adgang
    • Kunder er meddelt af private oplysninger deling mellem de finansielle institutioner og tredjemand, og at have evnen til at vælge ud, hvis det ønskes
    • Bruger og medarbejder aktivitet, der spores, herunder ethvert forsøg på at få adgang til følsomme oplysninger eller beskyttet records

    Disse fordele forbedre omdømmet for din organisation og for at øge kundernes tillid, der fører til øget kundeloyalitet, lavere churne, højere levetid værdi og mindre regulering bøder.,

    bankernes multinationale karakter og mulige gennemførelse af tilsvarende regulering i nogle amerikanske stater betyder, at finansielle institutioner skal tage privatlivets fred og databeskyttelseslove alvorligt.

    Hvad er de vigtigste komponenter i Gramm-Leach-Bliley Act?,

    Der er tre store dele af GLBA, der er designet til at arbejde sammen om at gælde for indsamling, videregivelse og beskyttelse af kunders ikke-offentlige personlige oplysninger (NPI), nemlig:

    • De Finansielle Privatliv Regel: Begrænser deling af ikke-offentlige personlige oplysninger (NPI) om et individ, og kræver, at de finansielle institutioner til at give den enkelte forbruger med en meddelelse i starten af kunderelationer, og derefter årligt.,
    • Beskyttelsesreglen: kræver, at finansielle institutioner udarbejder en informationssikkerhedsplan, der beskriver, hvordan virksomheden er forberedt på og planlægger at fortsætte med at beskytte kundernes og tidligere kunders ikke-offentlige personlige oplysninger (NPI).
    • Pretexting Beskyttelse: Pretexting eller social engineering opstår, når nogen forsøger at få adgang til ikke-offentlige personlige oplysninger, uden myndighed til at gøre det. Dette kan medføre, at du anmoder om private oplysninger ved at udgive dig for at være kontohaver pr.telefon, pr. mail eller phishing eller spear phishing., GLBA opfordrer organisationer til at gennemføre sikkerhedsforanstaltninger mod påskud.

    Hvad er GLBA Financial Privacy Rule?

    GLBA Finansielle Privatliv Regel begrænser deling af ikke-offentlige personlige oplysninger (NPI) og kræver, at kunderne får en fortrolighed i starten af kunderelationer, og derefter årligt.,

    meddelelsen beskriver, hvilke oplysninger der indsamles, hvor oplysningerne deles, hvordan Oplysningerne bruges, og hvordan de er beskyttet, samt fremhæver kundens ret til at fravælge informationsdeling med ikke-tilknyttede tredjeparter i henhold til bestemmelserne i Fair Credit Reporting Act.

    Hvis finansinstituttets privatlivspolitik ændres, underrettes kunderne om accept af ændringer. Whenhenvere Privacy notice er genoprettet, forbrugeren har ret til at fravælge igen.,

    Når kunder accepterer at få deres oplysninger delt med ikke-tilknyttede parter, skal de ikke-tilknyttede parter håndtere oplysningerne i overensstemmelse med den oprindelige fortrolighedsaftale.

    kort sagt indeholder den finansielle Privatlivsregel en privatlivsaftale mellem finansinstituttet og kunden om beskyttelse af deres ikke-offentlige personlige oplysninger (NPI).,

    en vigtig ting at forstå, at deling med tilknyttede virksomheder (enhver virksomhed, der kontrollerer, kontrolleres af eller under fælles kontrol), ikke er underlagt retten til at fravælge, men kunder skal informeres af privatlivspolitikken.

    Ikke-associerede parter, der er udelukket fra ret til at fravælge omfatter forbrugeren reporting agenturer, tredjepartsleverandører, hvis eneste formål er at udføre markedsføring for den finansielle institution og deltagere i private label kreditkort-programmer, hvor deltagerne er identificeret til kunden, når de træder ind i programmet.,

    Hvad er GLBA-Sikkerhedsreglen?

    Sikkerhedsreglen kræver, at finansielle institutioner udvikler, implementerer og opretholder en omfattende informationssikkerhedsplan, der skitserer administrative, tekniske og fysiske sikkerhedsforanstaltninger, der passer til organisationens størrelse og kompleksitet og dens finansielle aktiviteter.,inst forudsigelige risici

  • Regelmæssig afprøvning af den nuværende kontrol, systemer og procedurer
  • Evaluering og justering af det program, der er baseret på test og overvågning, ændringer i virksomhedens aktiviteter eller arrangementer og andre begivenheder af væsentlig betydning, såsom hvordan følsomme data, der indsamles, opbevares eller anvendes

    • I sammendrag, Sikkerhedsforanstaltninger Regel styrker finansielle institutioner til at tage et nærmere kig på deres oplysninger-sikkerhed, data sikkerhed, netværk, sikkerhed og cybersecurity til at udvikle en forståelse af cybersecurity risiko for, at deres nuværende kontrol, systemer og procedurer.,

    for at forhindre ikke-offentlige personlige oplysninger (NPI) datalækager skal du investere i et cybersikkerhedsprodukt for automatisk at scanne efter lækkede legitimationsoplysninger og dataeksponeringer.

    Hvad er GLBA Prete ?ting beskyttelse?

    Prete .ting, eller social engineering, refererer til, når en person forsøger at få adgang til kundeoplysninger under falske forudsætninger.

    dette kan være resultatet af efterligning af en kunde via telefon, e-mail eller via e-mail-forfalskning af phishing eller spyd phishing-kampagner.,

    GLBA Prete .ting Protection opfordrer organisationer til at gennemføre sikkerhedsforanstaltninger mod social engineering.

    for eksempel kan en finansiel institution ansætte social engineering a .areness training som en del af sit overordnede informationssikkerhedsprogram for at reducere risikoen for, at medarbejderne vil skade forbrugernes privatliv som følge af en social engineering angreb.

    andre kontroller til beskyttelse af personlige oplysninger kan omfatte OPSEC og affaldshåndtering.

    Læs mere om fælles social engineering forsvarsmekanismer.

    Hvad er leverandørens risikostyringskrav for GLBA?,

    i henhold til GLBA skal finansielle institutioner, der videregiver ikke-offentlige personlige oplysninger (NPI) til en tredjepartsleverandør eller-tjenesteudbyder, indgå en kontraktlig aftale, der forbyder videregivelse eller brug af de følsomme oplysninger, bortset fra at udføre de formål, som instituttet har videregivet oplysningerne til, f.eks. markedsføring.,

    Dette betyder, at finansielle institutioner er forpligtet til at føre tilsyn med udbydere af:

    • at Tage rimelige skridt til at vælge og fastholde udbydere, der er i stand til at opretholde fornødne garantier for kunden oplysninger
    • Kontraktligt kræver udbydere til at gennemføre og opretholde garantier

    Undgå sælgere uden SOC 2 kvalitetssikring og overveje at investere i en cybersecurity værktøj, der kan automatisere sælger risikostyring ved at overvåge dine leverandørers sikkerhed ydeevne med det samme, at tildele dem en sikkerhed rating., Dette vil give din leverandør risiko team til at afhjælpe de mest udsatte leverandører først.

    Disse værktøjer kan give sælger risikovurdering spørgeskema skabeloner og hjælpe din organisation med at udvikle en robust tredjepart risikovurderingsværktøj, der er baseret på GLBA overholdelse og andre rammer som ISO 27001 og NIST Cybersecurity Ramme.

    Læs mere om kreditor risk management.

    Hvad er straffen for GLBA manglende overholdelse?,

    Ikke-overholdelse af disse sanktioner er:

    • $100,000 bøde for hver overtrædelse for finansielle institutioner
    • $10.000 i bøde for hver overtrædelse for personer
    • Op til 5 år i fængsel for enkeltpersoner

    Hvordan UpGuard kan hjælpe med GLBA overensstemmelse

    Virksomheder som Intercontinental Exchange, Taylor Frj, New York Stock Exchange, IAG, Første Stat Super, Akamai, Morningstar og NASA bruger UpGuard til at beskytte deres data, forhindre sikkerhedsbrud, overvåge for sårbarheder og undgå malware.,

    Vi er eksperter i dataovertrædelser og datalækager, vores forskning er blevet vist i Ne.York Times, Wallall Street Journal, Bloomberg, .ashington Post, Forbes, Reuters og Techcrunch.

    UpGuard Sælgeren af Risiko kan minimere den tid, din organisation bruger på at styre tredje-part relationer ved at automatisere sælger spørgeskemaer og løbende overvågning af dine leverandørers sikkerhed kropsholdning over tid, mens benchmarking dem mod deres industri.,

    hver leverandør er vurderet mod 50+ kriterier såsom tilstedeværelse af SSL og DNSSEC, samt risiko for domænekapring, man-in-the-middle-angreb og e-mail-forfalskning til phishing.

    hver dag scorer vores platform dine leverandører med en Cyber Security Rating ud af 950. Vi advarer dig, hvis deres score falder.

    UpGuard BreachSight kan hjælpe med at overvåge, om DMARC, bekæmpelse af typosquatting, forhindrer brud på datasikkerheden og data lækager, undgå lovgivningsmæssige bøder og beskytte dine kunders tillid gennem cyber-sikkerhed ratings og kontinuerlig eksponering afsløring.,

    Hvis du gerne vil se, hvordan din organisation stabler op, få din gratis Cyber Security Rating. book en demo i dag.