Der Gramm-Leach-Bliley Act (GLBA, GLB Act oder dem Financial Services Modernization Act von 1999) ist ein Bundesgesetz der Vereinigten Staaten verlangt Finanzinstituten zu erklären, wie Sie sich teilen und schützen Sie Ihre Kunden-öffentlichen persönlichen Informationen (NPI).
Die GLBA hob auch einen Teil des Glass-Steagall Act von 1993 und des Bank Holding Company Act von 1956 (BHCA) auf und beseitigte Barrieren für Banken, Wertpapiere und Versicherungen, die als Kombination aus Investmentbank, Geschäftsbank und Versicherungsgesellschaft fungieren können.,
Was ist der Zweck des Gramm-Leach-Bliley Act?
Das Hauptanliegen von GLBA besteht darin, die Vertraulichkeit der personenbezogenen Daten (PII) und Finanzinformationen der Kunden zu gewährleisten, indem bestimmte Datenschutz-und Sicherheitsstandards eingehalten werden:
- Datenschutzstandards: Kunden müssen über Praktiken des Informationsaustauschs informiert und mit einer Möglichkeit ausgestattet werden, unnötige Weitergabe abzulehnen, siehe U. S. C Titel 15 (a) von Sec .. , 6801
- Sicherheitsstandards: Haben Sie eine Informationssicherheitsrichtlinie, die darauf ausgelegt ist, die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendatensätzen und-informationen zu gewährleisten; Schützen Sie Kundendatensätze vor erwarteten Cyberangriffen, Cyber-Bedrohungen und anderen Angriffsvektoren; und schützen Sie sich vor unbefugtem Zugriff auf oder Verwendung von Kundendatensätzen oder-informationen, die zu Schäden oder Unannehmlichkeiten für den Kunden führen könnten, z. B. Datenschutzverletzungen und Datenlecks, siehe U. S. C Titel 15 (b) von Sec., 6801
Die GLBA wurde dem Consumer Financial Protection Bureau (CFPB), der Securities Exchange Commission (SEC), der Commodity Futures Trading Commission (CFTC), der Federal Trade Commission (FTC), den Federal Banking Agencies, den Federal Regulatory Agencies und den State Insurance Oversight Agencies die Möglichkeit gegeben Implementieren Sie weitere Vorschriften, um angemessene Datenschutz-und Sicherheitsvorschriften zu gewährleisten. Das heißt, das staatliche Recht kann eine größere Einhaltung erfordern, aber nicht weniger als das, was sonst von der GLBA verlangt wird.
Wer wird von GLBA reguliert?,
Die GLBA gilt für Finanzinstitute, jedes Unternehmen, das Finanzprodukte und-dienstleistungen für Einzelpersonen wie Kredite, Finanzberatung, Anlageberatung oder Versicherungen anbietet. Sowie begrenzte Verpflichtungen gegenüber bestimmten Dritten, die nicht öffentliche personenbezogene Daten (NPI) von GLBA-regulierten Finanzinstituten erhalten.,
Beispiele für Finanzinstitute sind:
- Nichtbankenhypothekengeber
- Immobiliengutachter
- Kreditvermittler
- Einige Finanz-oder Anlageberater
- Inkasseure
- Steuererklärungsersteller
- Banken
- Immobilienabwicklungsdienstleister
Da sich GLBA auf Kundendaten konzentriert, sind Finanzinstitute, die nur erbringung von Dienstleistungen für andere Unternehmen sind nicht durch GLBA abgedeckt. Es gibt auch keine Person, die einen Geldautomaten verwendet oder einen Scheck zwischenspeichert, da keine laufende Kundenbeziehung besteht.,
Was sind nichtöffentliche personenbezogene Daten (NPI)?
Nichtöffentliche personenbezogene Daten (NPI) sind alle persönlich identifizierbaren Informationen (PII) und Finanzinformationen, die:
- , die der Kunde dem Finanzinstitut zur Verfügung stellt
- , die sich aus Transaktionen mit dem Kunden oder einer Dienstleistung ergeben, die dem Kunden zur Verfügung gestellt wird
- , die das Finanzinstitut auf andere Weise erhält
Informationen, die öffentlich verfügbar sind, oder Informationen, von denen das Finanzinstitut eine vernünftige Grundlage zu glauben hat, sind keine nichtöffentlichen persönlichen Informationen (NPI)., Allerdings müssen Informationen, die im Allgemeinen öffentlich sind, aber privat gemacht wurden (z. B. mit einer nicht aufgelisteten Telefonnummer), als nicht öffentlich behandelt werden.,mber, Familienstand, Höhe der Ersparnisse oder Investitionen, Zahlungshistorie, Kredit-oder Einzahlungssaldo, Kredit-oder Debitkartenkäufe, Kontonummern oder Verbraucherberichte
Welche Vorteile bietet GLBA compliance?,
GLBA Compliance ist eine Anforderung für die Mehrheit der Finanzinstitute in den Vereinigten Staaten. Es verringert auch das Risiko von Strafen und Reputationsschäden, die durch Datenverletzungen und Datenlecks verursacht werden. Da die durchschnittlichen Kosten eines Datenverstoßes weltweit 3.92 Millionen US-Dollar erreichen, lohnt es sich, Datenverstöße zu verhindern.
Die Einhaltung der GLBA kann auch zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union beitragen, die am 25., Die DSGVO enthält Bestimmungen über die Datenerhebung, das Recht auf Zugang, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung und das Recht auf Datenübertragbarkeit.,rotection Vorteile wie:
- Private oder sensible Informationen werden gegen unbefugten Zugriff gesichert
- Kunden werden über den Austausch privater Informationen zwischen Finanzinstituten und Dritten informiert und können sich auf Wunsch abmelden
- Benutzer-und Mitarbeiteraktivitäten werden verfolgt, einschließlich aller Versuche, auf vertrauliche Informationen oder geschützte Datensätze zuzugreifen
Diese Vorteile verbessern den Ruf Ihres Unternehmens und erhöhen das Kundenvertrauen, was zu mehr Kundenbindung, geringerem Aufwand, höherem Lebenszeitwert und weniger Geldbußen führt.,
Aufgrund des multinationalen Charakters des Bankwesens und der möglichen Umsetzung entsprechender Regulierungen in einigen US-Bundesstaaten müssen Finanzinstitute die Datenschutz-und Datenschutzgesetze ernst nehmen.
Was sind die Hauptkomponenten des Gramm-Leach-Bliley Act?,
Es gibt drei Hauptkomponenten der GLBA, die zusammenarbeiten, um die Erhebung, Offenlegung und den Schutz nichtöffentlicher personenbezogener Daten (NPI) von Kunden zu regeln:
- Die Financial Privacy Rule: Schränkt die Weitergabe nichtöffentlicher personenbezogener Daten (NPI) an eine Einzelperson ein und verpflichtet Finanzinstitute, jedem Verbraucher zu Beginn der Kundenbeziehung und danach jährlich einen Datenschutzhinweis zur Verfügung zu stellen.,
- Die Sicherungsregel: Finanzinstitute müssen einen Informationssicherheitsplan entwickeln, der beschreibt, wie das Unternehmen darauf vorbereitet ist und plant, die nichtöffentlichen persönlichen Daten von Kunden und ehemaligen Kunden (NPI) weiterhin zu schützen.
- Pretexting-Schutz: Pretexting-oder social-engineering-tritt auf, wenn jemand versucht, Zugang zu nicht-öffentlichen persönlichen Informationen ohne Autorität zu tun. Dies kann dazu führen, dass private Informationen angefordert werden, indem der Kontoinhaber telefonisch, per Post oder durch Phishing oder Spear-Phishing identifiziert wird., GLBA ermutigt Organisationen, Schutzmaßnahmen gegen Pretexting zu implementieren.
Was ist die GLBA Financial Privacy Rule?
Die GLBA Financial Privacy Rule schränkt die Weitergabe nichtöffentlicher personenbezogener Daten (NPI) ein und verlangt, dass Kunden zu Beginn der Kundenbeziehung und danach jährlich eine Datenschutzerklärung erhalten.,
Die Mitteilung beschreibt, welche Informationen gesammelt werden, wo die Informationen geteilt werden, wie die Informationen verwendet werden und wie sie geschützt sind, und hebt das Recht des Kunden hervor, den Informationsaustausch mit nicht verbundenen Dritten gemäß den Bestimmungen des Fair Credit Reporting Act abzulehnen.
Wenn sich die Datenschutzrichtlinie des Finanzinstituts ändert, werden Kunden über die Annahme von Änderungen informiert. Wenn der Datenschutzhinweis wieder aufgehoben wird, hat der Verbraucher das Recht, sich erneut abzulehnen.,
Wenn Kunden zustimmen, dass ihre Informationen an nicht verbundene Parteien weitergegeben werden, müssen die nicht verbundenen Parteien die Informationen gemäß der ursprünglichen Datenschutzerklärung verarbeiten.
Kurz gesagt, die Financial Privacy Rule bietet eine Datenschutzvereinbarung zwischen dem Finanzinstitut und dem Kunden in Bezug auf den Schutz ihrer nichtöffentlichen persönlichen Daten (NPI).,
Eine wichtige Sache zu verstehen, dass das Teilen mit verbundenen Unternehmen (jedes Unternehmen, das von oder unter gemeinsamer Kontrolle kontrolliert wird) nicht dem Recht unterliegt, sich abzumelden, aber Kunden müssen durch die Datenschutzerklärung informiert werden.
Zu den nicht verbundenen Parteien, die vom Opt-Out-Recht ausgeschlossen sind, gehören Verbraucherberichterstatter, Drittanbieter, deren einziger Zweck darin besteht, Marketing für das Finanzinstitut durchzuführen, und Teilnehmer an Private-Label-Kreditkartenprogrammen, bei denen die Teilnehmer beim Eintritt in das Programm gegenüber dem Kunden identifiziert werden.,
Was ist die GLBA-Sicherheitsregel?
Die Sicherheitsvorschrift verpflichtet Finanzinstitute, einen umfassenden Informationssicherheitsplan zu entwickeln, umzusetzen und aufrechtzuerhalten, der administrative, technische und physische Sicherheitsvorkehrungen beschreibt, die der Größe und Komplexität der Organisation und ihrer finanziellen Aktivitäten angemessen sind.,inst vorhersehbare Risiken
Zusammenfassend zwingt die Sicherungsregel Finanzinstitute, einen genaueren Blick auf ihre Informationssicherheit, Datensicherheit, Netzwerksicherheit und Cybersicherheit zu werfen, um ein Verständnis für das Cybersicherheitsrisiko ihrer aktuellen Kontrollen, Systeme und Verfahren zu entwickeln.,
Um nichtöffentliche Datenlecks (NPI) zu vermeiden, investieren Sie in ein Cybersicherheitsprodukt, um automatisch nach durchgesickerten Anmeldeinformationen und Datenexpositionen zu suchen.
Was ist der GLBA Pretexting Protection?
Pretexting oder Social Engineering bezieht sich darauf, wenn eine Person unter falschen Vorwänden versucht, Zugang zu Kundeninformationen zu erhalten.
Dies kann das Ergebnis der Identität eines Kunden per Telefon, E-Mail oder durch E-Mail-Spoofing-Phishing-oder Spear-Phishing-Kampagnen sein.,
GLBA Pretexting Protection ermutigt Organisationen, Schutzmaßnahmen gegen Social Engineering zu implementieren.
Ein Finanzinstitut kann beispielsweise im Rahmen seines gesamten Programms zur Informationssicherheit Social Engineering Awareness-Schulungen durchführen, um das Risiko zu verringern, dass Mitarbeiter die Privatsphäre der Verbraucher infolge eines Social Engineering-Angriffs schädigen.
Andere Datenschutzkontrollen können OPSEC und Abfallwirtschaft umfassen.
Lesen Sie mehr über gängige Social Engineering Abwehrmechanismen.
Was sind die Anbieter Risiko-management-Anforderungen von GLBA?,
Unter GLBA müssen Finanzinstitute, die nichtöffentliche personenbezogene Daten (NPI) an einen Drittanbieter oder Dienstleister weitergeben, eine vertragliche Vereinbarung treffen, die die Offenlegung oder Verwendung der sensiblen Informationen verbietet, außer für die Zwecke, für die das Institut die Informationen offengelegt hat, z. B. Marketing.,
Dies bedeutet, dass Finanzinstitute verpflichtet sind, Dienstleister zu beaufsichtigen, indem sie:
- Angemessene Schritte unternehmen, um Dienstleister auszuwählen und zu behalten, die in der Lage sind, geeignete Sicherheitsvorkehrungen für Kundeninformationen aufrechtzuerhalten
- Vertraglich verlangen, dass Dienstleister Sicherheitsvorkehrungen implementieren und aufrechterhalten
Vermeiden Sie Anbieter ohne SOC 2-Versicherung und erwägen Sie, in ein Cybersicherheitstool zu investieren, mit dem das Risikomanagement von Anbietern automatisiert werden kann, indem Sie die Sicherheitsleistung Ihrer Anbieter sofort überwachen und ihnen ein Sicherheitsrating zuweisen., Auf diese Weise kann Ihr Vendor Risk-Team zuerst die am stärksten gefährdeten Anbieter beheben.
Diese Tools können Fragebogenvorlagen zur Risikobewertung von Anbietern bereitstellen und Ihrem Unternehmen helfen, ein robustes Framework zur Risikobewertung von Drittanbietern zu entwickeln, das auf GLBA-Konformität und anderen Frameworks wie ISO 27001 und dem NIST Cybersecurity Framework basiert.
Lesen Sie mehr über vendor-risk-management.
Was sind die Strafen für GLBA-Nichteinhaltung?,
Zu den Nichteinhaltungsstrafen gehören:
- $100.000 Geldstrafe für jeden Verstoß gegen Finanzinstitute
- $10.000 Geldstrafe für jeden Verstoß gegen Einzelpersonen
- Bis zu 5 Jahre Gefängnis für Einzelpersonen
Wie UpGuard bei der GLBA-Compliance helfen kann
Unternehmen wie Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar und NASA verwenden UpGuard, um ihre Daten, verhindern Datenverletzungen, überwachen auf Schwachstellen und vermeiden Malware.,
Wir sind Experten für Datenschutzverletzungen und Datenlecks, unsere Forschung wurde in der New York Times, Wall Street Journal, Bloomberg, Washington Post, Forbes, Reuters und Techcrunch vorgestellt.
UpGuard Vendor Risk kann die Zeit, die Ihr Unternehmen für die Verwaltung von Drittanbieterbeziehungen aufwenden muss, minimieren, indem es Fragebögen von Anbietern automatisiert und die Sicherheitshaltung Ihrer Anbieter im Laufe der Zeit kontinuierlich überwacht und sie mit ihrer Branche vergleicht.,
Jeder Anbieter wird anhand von mehr als 50 Kriterien wie SSL und DNSSEC sowie dem Risiko von Domain-Hijacking, Man-in-the-Middle-Angriffen und E-Mail-Spoofing für Phishing bewertet.
Unsere Plattform bewertet Ihre Anbieter täglich mit einer Cybersicherheitsbewertung von 950. Wir werden Sie warnen, wenn Ihre Punktzahl sinkt.
UpGuard BreachSight kann bei der Überwachung von DMARC helfen, Tippfehler zu bekämpfen, Datenverletzungen und Datenlecks zu verhindern, regulatorische Bußgelder zu vermeiden und das Vertrauen Ihrer Kunden durch Cybersicherheitsbewertungen und kontinuierliche Expositionserkennung zu schützen.,
Wenn Sie sehen möchten, wie sich Ihre Organisation stapelt, erhalten Sie Ihre kostenlose Cyber-Sicherheitsbewertung.
Buchen Sie noch heute eine Demo.
Schreibe einen Kommentar