La Ley Gramm-Leach-Bliley (GLBA, ley GLB o Ley de modernización de Servicios Financieros de 1999) es una Ley federal de los Estados Unidos que requiere que las instituciones financieras expliquen cómo comparten y protegen la información personal no pública (NPI) de sus clientes.
la GLBA también derogó parte de la Glass-Steagall Act de 1993 y la Bank Holding Company Act de 1956 (BHCA), eliminando las barreras para que las compañías bancarias, de valores y de seguros actúen como una combinación de un banco de inversión, un banco comercial y una compañía de seguros.,
¿Cuál es el propósito de la Ley Gramm-Leach-Bliley?
la principal preocupación de GLBA es garantizar la confidencialidad de la información de identificación personal (PII) y la información financiera de los clientes siguiendo ciertos estándares de privacidad y seguridad:
- estándares de Privacidad: los clientes deben ser notificados de las prácticas de intercambio de información y se les debe proporcionar una forma de optar por no compartir innecesariamente, ver U. S. C Título 15 (a) de la SEC., 6801
- estándares de seguridad: tener una política de seguridad de la información diseñada para garantizar la confidencialidad, integridad y disponibilidad de los registros e información del cliente; proteger los registros del cliente de ataques cibernéticos anticipados, amenazas cibernéticas y otros vectores de ataque; y proteger contra el acceso no autorizado o el uso de registros o información del cliente que podría resultar en daño o inconveniencia para el cliente, por ejemplo, violaciones de datos y fugas de datos, véase U. S. C Título 15 (b) de la SEC., 6801
la GLBA le dio a la Oficina de protección financiera del consumidor( CFPB), la Comisión de bolsa de Valores (SEC), la Comisión de comercio de futuros de productos básicos (CFTC), la Comisión Federal de comercio (FTC), las agencias bancarias federales, las agencias reguladoras federales y las agencias de supervisión de seguros estatales, la capacidad de implementar otras regulaciones para garantizar las disposiciones de privacidad y las regulaciones de seguridad adecuadas. Dicho esto, la ley estatal puede requerir un mayor cumplimiento, pero no menos de lo que de otra manera requiere la GLBA.
¿quién está regulado por GLBA?,
la GLBA se aplica a instituciones financieras, cualquier negocio que ofrezca productos y Servicios Financieros a personas como préstamos, asesoramiento financiero, asesoramiento de inversión o seguros. Así como obligaciones limitadas sobre ciertos terceros que reciben información personal no pública (NPI) de instituciones financieras reguladas por GLBA.,
ejemplos de instituciones financieras incluyen:
- prestamistas hipotecarios no bancarios
- tasadores de bienes raíces
- corredores de préstamos
- algunos asesores financieros o de inversión
- cobradores de deudas
- preparadores de declaraciones de impuestos
- bancos
- proveedores de servicios de liquidación de bienes raíces
a otros negocios no están cubiertos por GLBA. Tampoco es una persona que utiliza un cajero automático o cobra un cheque porque no hay una relación con el cliente en curso.,
¿qué es la información personal no pública (NPI)?
la información personal no pública (NPI) es toda la información de identificación personal (PII) e información financiera que es:
- proporcionada por el cliente a la institución financiera
- resultante de cualquier transacción con el cliente o cualquier servicio proporcionado al cliente
- obtenida de otra manera por la institución financiera
la información que está disponible públicamente, o la información que la institución financiera tiene una base razonable para creer que es, no es información personal no pública (NPI)., Dicho esto, la información que es generalmente pública pero que se ha hecho privada (por ejemplo, tener un número de teléfono no listado), debe tratarse como no pública.,mber, estado civil, cantidad de ahorros o inversiones, historial de pagos, saldo de préstamos o depósitos, compras con tarjeta de crédito o débito, números de Cuenta o informes del consumidor
¿cumplimiento de GLBA?,
el cumplimiento de GLBA es un requisito para la mayoría de las instituciones financieras en los Estados Unidos. También reduce el riesgo de sanciones y daños a la reputación causados por violaciones y fugas de datos. Con el costo promedio de una violación de datos alcanzando 3 3.92 millones a nivel mundial, vale la pena prevenir las violaciones de datos.
el cumplimiento de GLBA también puede ayudar con el cumplimiento del Reglamento General de protección de datos (RGPD) de la Unión Europea, que entró en vigor el 25 de mayo de 2018., GDPR povides provisions on data collection, rights to access, rights to erasure, right to restriction of processing and right to data portability.,beneficios de rotection como:
- información privada o confidencial protegida contra el acceso no autorizado
- Los clientes son notificados del intercambio de información privada entre instituciones financieras y terceros, y tienen la capacidad de optar por no participar si lo desean
- La actividad de los usuarios y empleados que se rastrea, incluidos los intentos de acceder a información confidencial o registros protegidos
estos beneficios mejoran la reputación de su organización y aumentan la confianza del cliente, lo que lleva a una mayor lealtad del cliente, menor rotación, mayor valor de vida útil y menos multas reglamentarias.,
la naturaleza multinacional de la banca y la posible implementación de la regulación correspondiente en algunos estados de EE.UU. significa que las instituciones financieras deben tomarse en serio las leyes de privacidad y protección de datos.
¿Cuáles son los principales componentes de la Ley Gramm-Leach-Bliley?,
hay tres componentes principales de la GLBA, diseñados para trabajar juntos para gobernar la recopilación, divulgación y protección de la información personal no pública de los clientes (NPI), a saber:
- La regla de privacidad financiera: restringe el intercambio de información personal no pública (NPI) sobre un individuo y requiere que las instituciones financieras proporcionen a cada consumidor un aviso de privacidad al inicio de la relación con el cliente y anualmente a partir de entonces.,
- La regla de Salvaguardias: requiere que las instituciones financieras desarrollen un plan de seguridad de la información que describa cómo la compañía está preparada y planea continuar protegiendo la información personal no pública (NPI) de los clientes y antiguos clientes.
- Protección de pretextos: los pretextos o la ingeniería social se producen cuando alguien intenta obtener acceso a información personal no pública sin autorización para hacerlo. Esto puede implicar solicitar información privada haciéndose pasar por el titular de la cuenta por teléfono, por correo o por phishing o spear phishing., GLBA alienta a las organizaciones a implementar salvaguardas contra pretextos.
¿qué es la regla de privacidad financiera de GLBA?
La regla de privacidad financiera de GLBA restringe el intercambio de información personal no pública (NPI) y requiere que los clientes reciban un aviso de privacidad al inicio de la relación con el cliente y anualmente a partir de entonces.,
el aviso describe qué información se recopila, dónde se comparte la información, cómo se usa la información y cómo se protege, así como destaca el derecho del cliente a optar por no compartir información con terceros no afiliados de conformidad con las disposiciones de la Ley de informes de crédito justos.
si la política de privacidad de la institución financiera cambia, se notificará a los clientes para que acepten los cambios. Cuando se restablezca el Aviso de privacidad, el consumidor tiene derecho a excluirse de nuevo.,
cuando los clientes aceptan que su información se comparta con partes no afiliadas, las partes no afiliadas deben manejar la información de acuerdo con el Acuerdo original de Aviso de privacidad.
en Resumen, La regla de privacidad financiera proporciona un acuerdo de privacidad entre la institución financiera y el cliente relativo a la protección de su información personal no pública (NPI).,
Una cosa importante para entender que compartir con los afiliados (cualquier empresa que controla, controlado por o bajo control común) no está sujeto al derecho a optar por no, pero los clientes deben ser informados por el Aviso de privacidad.
Las partes no afiliadas que están excluidas del derecho de exclusión incluyen agencias de informes de consumidores, proveedores externos cuyo único propósito es realizar marketing para la institución financiera y participantes en programas de tarjetas de crédito de marca privada donde los participantes se identifican al cliente cuando ingresan al programa.,
¿qué es la regla de Salvaguardias GLBA?
la norma de Salvaguardias exige que las instituciones financieras elaboren, apliquen y mantengan un plan amplio de seguridad de la información que describa las salvaguardias administrativas, técnicas y físicas que sean apropiadas para el tamaño y la complejidad de la organización y sus actividades financieras.,riesgos previsibles
en Resumen, La regla de Salvaguardias obliga a las instituciones financieras a examinar más de cerca su seguridad de la información, la seguridad de los datos, la seguridad de la red y la ciberseguridad para desarrollar una comprensión del riesgo de CiberSeguridad de sus controles, sistemas y procedimientos actuales.,
para evitar fugas de datos de información personal no pública (NPI), invierta en un producto de ciberseguridad para escanear automáticamente las credenciales filtradas y las exposiciones de datos.
¿qué es la protección de pretextos GLBA?
los pretextos, o ingeniería social, se refieren a cuando un individuo intenta obtener acceso a la información del cliente bajo pretextos falsos.
esto podría ser el resultado de suplantar a un cliente por teléfono, correo electrónico o a través de campañas de suplantación de identidad por correo electrónico o spear phishing.,
GLBA Pretexting Protection alienta a las organizaciones a implementar salvaguardas contra la ingeniería social.
por ejemplo, una institución financiera puede emplear capacitación en conciencia de ingeniería social como parte de su programa general de seguridad de la información para reducir el riesgo de que los empleados dañen la privacidad del consumidor como resultado de ataques de ingeniería social.
otros controles de protección de privacidad pueden incluir OPSEC y gestión de residuos.
Lea más sobre los mecanismos comunes de defensa de la ingeniería social.
¿cuáles son los requisitos de gestión de Riesgos del proveedor de GLBA?,
en virtud de la GLBA, las instituciones financieras que divulguen información personal no pública (NPI) a un proveedor externo o proveedor de servicios deben celebrar un acuerdo contractual que prohíba la divulgación o el uso de la información confidencial para fines distintos de los fines para los que la institución divulgó la información, por ejemplo, marketing.,
esto significa que las instituciones financieras están obligadas a supervisar a los proveedores de servicios:
- tomando medidas razonables para seleccionar y retener a los proveedores de servicios que sean capaces de mantener las salvaguardias adecuadas para la información del cliente
- contractualmente exigiendo a los proveedores de servicios que implementen y mantengan las salvaguardias
evite a los proveedores sin garantía SOC 2 y considere invertir en una herramienta de ciberseguridad que pueda automatizar la gestión de Riesgos del proveedor al monitorear el rendimiento de seguridad de sus proveedores al instante, asignándoles una calificación de seguridad., Esto le permitirá a su equipo de riesgo de Proveedor remediar primero a los proveedores más en riesgo.
estas herramientas pueden proporcionar plantillas de cuestionarios de evaluación de Riesgos de proveedores y ayudar a su organización a desarrollar un sólido marco de evaluación de Riesgos de terceros basado en el cumplimiento de GLBA y otros marcos como ISO 27001 y el marco de ciberseguridad NIST.
Obtenga más información sobre la gestión de Riesgos de proveedores.
¿Cuáles son las sanciones por incumplimiento de GLBA?,
las sanciones por incumplimiento incluyen:
- multa de 1 100,000 por cada violación para instituciones financieras
- multa de 1 10,000 por cada violación para individuos
- Hasta 5 años de prisión para individuos
cómo UpGuard puede ayudar con el cumplimiento de GLBA
compañías como Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar y la NASA utilizan upguard para proteger sus datos, prevenir violaciones de datos, monitorear vulnerabilidades y evitar malware.,
somos expertos en violaciones de datos y fugas de Datos, nuestra investigación ha aparecido en The New York Times, Wall Street Journal, Bloomberg, Washington Post, Forbes, Reuters y Techcrunch.
UpGuard Vendor Risk puede minimizar la cantidad de tiempo que su organización dedica a la gestión de relaciones con terceros mediante la automatización de cuestionarios de proveedores y el monitoreo continuo de la postura de seguridad de sus proveedores a lo largo del tiempo, mientras los compara con su industria.,
Cada proveedor está calificado con más de 50 criterios, como la presencia de SSL y DNSSEC, así como el riesgo de secuestro de dominio, ataques de intermediario y suplantación de correo electrónico para phishing.
Cada día, nuestra plataforma califica a sus proveedores con una calificación de Seguridad Cibernética de 950. Te avisaremos si su puntuación baja.
UpGuard BreachSight puede ayudar a monitorear DMARC, combatir el typosquatting, prevenir violaciones de datos y fugas de datos, evitar multas regulatorias y proteger la confianza de sus clientes a través de calificaciones de seguridad cibernética y detección de exposición continua.,
si desea ver cómo funciona su organización, obtenga su calificación de Seguridad Cibernética gratuita.
Reserve una demo hoy.
Deja una respuesta