A Gramm-Leach-Bliley Törvény (GLBA, GLB Törvény vagy a Pénzügyi Szolgáltatások Modernizációs Törvény 1999) az Egyesült Államok szövetségi törvény igénylő pénzügyi intézményeknek, hogy magyarázza el, hogyan osztoznak védeni a vevők nem nyilvános személyes adatok (NPI).
a GLBA hatályon kívül helyezte az 1993.évi Glass-Steagall-törvény és az 1956. évi Bank Holdingról szóló törvény (BHCA) egy részét is, megszüntetve a banki, értékpapír-és biztosítótársaságok számára a befektetési bank, kereskedelmi bank és biztosító társaság bármely kombinációjaként való fellépést gátló akadályokat.,
mi a Gramm-Leach-Bliley törvény célja?
Az elsődleges szempont GLBA biztosítása a titoktartási kötelezettség az ügyfelek személyes adatait (PII), valamint a pénzügyi információkat az alábbi meghatározott adatvédelmi előírások:
- Adatvédelmi előírások: az Ügyfelek értesíteni kell az információ megosztása gyakorlatok, feltéve, hogy az opt-out-felesleges megosztása, lásd a U. S. C. Cím 15 (a) Sec., 6801
- Biztonsági előírások: egy információbiztonsági politika célja, hogy biztosítsa a bizalmasság, sértetlenség, rendelkezésre állás, az ügyfél-nyilvántartás, valamint az információs; védeni ügyfél adatait várható számítógépes támadások, számítógépes fenyegetések, valamint más támadási; pedig védeni a jogosulatlan hozzáférés ellen, vagy használja az ügyfelet vagy információ, amely azt eredményezheti, hogy kárt vagy kellemetlenséget, hogy az ügyfél, pl. adatok megsértésének, valamint adat szivárog, lásd a U. S. C. Cím 15 (b) a Sek., 6801
A GLBA volt ad a Fogyasztói Pénzügyi Védelmi Iroda (CFPB), az Értékpapír Exchange commission (SEC), a Commodity Futures Trading commission (CFTC), a Szövetségi Kereskedelmi Bizottság (FTC) szövetségi banki ügynökségek, a szövetségi szabályozó ügynökségek állami biztosító felügyeleti szervek, képes végrehajtani a további rendeletek biztosítják a megfelelő adatvédelmi rendelkezéseket a biztonsági szabályzat. Ennek ellenére az állami jog nagyobb megfelelést igényelhet, de nem kevesebb, mint amit a GLBA egyébként megkövetel.
Kit szabályoz a GLBA?,
a GLBA a pénzügyi intézményekre, minden olyan vállalkozásra vonatkozik, amely pénzügyi termékeket és szolgáltatásokat kínál magánszemélyeknek, mint például hitelek, pénzügyi tanácsadás, befektetési tanácsadás vagy biztosítás. Csakúgy, mint Bizonyos harmadik felekre vonatkozó korlátozott kötelezettségek, akik nem nyilvános személyes adatokat (NPI) kapnak a GLBA szabályozott pénzügyi intézményektől.,
Példák a pénzügyi intézmények a következők:
- a Nem-bank-jelzáloghitel
- ingatlan értékbecslők
- Hitel brókerek
- Egy pénzügyi vagy befektetési tanácsadók
- pénzbehajtó
- adóbevallás preparers
- a Bankok
- ingatlan település szolgáltató
Mint GLBA összpontosít, ügyfél adatok, pénzügyi intézmények, aki csak a szolgáltatásnyújtás más vállalkozások által nem szabályozott GLBA. Sem az a személy, aki ATM-et használ, vagy csekket fizet, mert nincs folyamatos ügyfélkapcsolat.,
mi a nem nyilvános személyes adat (NPI)?
a nem Nyilvános személyes adatok (NPI) a személyazonosításra alkalmas adatok (PII), valamint a pénzügyi információk:
- a megrendelő által Biztosított, hogy a pénzügyi intézmény
- Eredő bármely tranzakció az ügyfél, vagy bármely, a szolgáltatást, feltéve, hogy az ügyfél
- Egyébként nyert a pénzügyi intézmény
az Információ nyilvánosan elérhető, vagy információ, amely a pénzügyi intézmény ésszerű alapon hinni, hogy nem publikus a személyes adatokat (NPI)., Ez azt jelenti, hogy azokat az információkat, amelyek általában nyilvánosak, de magántulajdonban vannak (például nem jegyzett telefonszámmal rendelkeznek), nem nyilvánosnak kell tekinteni.,a sz ám gombok, családi állapot, az összeg a megtakarítási, illetve a beruházások, a fizetési előzmények, hitel vagy betéti egyensúly, hitel-vagy betéti kártyával vásárol, számlaszámokat vagy consumer reports
Milyen előnyei vannak a GLBA megfelelés?,
a GLBA megfelelés követelmény az Egyesült Államok pénzügyi intézményeinek többsége számára. Emellett csökkenti az adatsértések és adatszivárgások által okozott büntetések és reputációs károk kockázatát. Mivel az adatok megsértésének átlagos költsége globálisan eléri a 3, 92 millió dollárt, fizet az adatok megsértésének megelőzése érdekében.
A GLBA-megfelelés segíthet az Európai Unió általános adatvédelmi rendeletének (GDPR) való megfelelésben is, amely 2018.május 25-én végrehajthatóvá vált., GDPR povides rendelkezések az adatgyűjtésről, a hozzáféréshez való jogról, a törléshez való jogról, az adatkezelés korlátozásának jogáról és az adathordozhatósághoz való jogról.,rotection juttatások, mint például:
- személyes vagy bizalmas információkat, hogy a biztosított ellen a jogosulatlan hozzáférés
- az Ügyfelek értesítést a személyes információk megosztása a pénzügyi intézmények vagy harmadik felek, de tekintettel arra, hogy kilépjen, ha a kívánt
- a Felhasználói, mind a munkavállalói tevékenység nyomon beleértve minden kísérlet, hogy hozzáférjen az érzékeny információkat, vagy védett bejegyzések
Ezek az előnyök javítani a hírnevét, a szervezet, valamint növeli a vásárlói bizalom, ami nagyobb vásárlói hűség, az alsó churne, magasabb életprevalencia érték kevesebb, szabályozási bírságok.,
a bankrendszer multinacionális jellege és a megfelelő szabályozás lehetséges végrehajtása egyes amerikai államokban azt jelenti, hogy a pénzügyi intézményeknek komolyan kell venniük a magánélet védelméről és az Adatvédelmi törvényekről szóló törvényeket.
melyek a Gramm-Leach-Bliley törvény fő összetevői?,
három fő összetevője a GLBA, tervezték, hogy együtt kormányozzanak a gyűjtemény, nyilvánosságra hozatal, védelme, az ügyfelek nem nyilvános személyes adatok (NPI), nevezetesen:
- A Pénzügyi Adatvédelmi Szabály: Korlátozza a megosztási nem publikus személyes adatokat (NPI) egy egyéni, illetve előírja a pénzügyi intézmények számára nyújt minden fogyasztó az adatvédelmi nyilatkozat elején az ügyfélkapcsolat, ezután pedig évente egyszer.,
- a biztosítéki szabály: a pénzügyi intézményeknek olyan információbiztonsági tervet kell kidolgozniuk, amely leírja, hogy a vállalat hogyan készül, és azt tervezi, hogy továbbra is megvédi az ügyfelek és a korábbi ügyfelek nem nyilvános személyes adatait (NPI).
- Pretexting Protection: Pretexting vagy social engineering akkor fordul elő, amikor valaki felhatalmazás nélkül próbál hozzáférni a nem nyilvános személyes adatokhoz. Ez magában foglalhatja a személyes adatok kérését a számlatulajdonos telefonon, postai úton vagy adathalászattal vagy adathalászattal történő megszemélyesítésével., A GLBA arra ösztönzi a szervezeteket, hogy hajtsanak végre biztosítékokat a pretexting ellen.
mi a GLBA pénzügyi Adatvédelmi szabálya?
a GLBA pénzügyi Adatvédelmi szabálya korlátozza a nem nyilvános személyes adatok (NPI) megosztását, és előírja, hogy az ügyfelek az ügyfélkapcsolat kezdetén, majd azt követően évente Adatvédelmi értesítést kapjanak.,
A közlemény ismerteti, hogy milyen információkat gyűjtenek, ahol az információk megosztását, hogyan használják fel ezeket az információkat, illetve, hogy védett, valamint jelölje ki az ügyfél jogot, hogy kilépjen az információ megosztást nonaffiliated harmadik felek rendelkezései szerint, a Fair hitelinformációs Törvény.
Ha a pénzügyi intézmény adatvédelmi szabályzata megváltozik, az ügyfeleket értesítik a változások elfogadásáról. Az Adatvédelmi nyilatkozat visszaállításakor a fogyasztónak jogában áll újra kilépni.,
amikor az ügyfelek beleegyeznek abba, hogy adataikat megosztják a nem egyeztetett felekkel, a vallástalan feleknek az adatokat az eredeti adatvédelmi értesítési megállapodásnak megfelelően kell kezelniük.
röviden, a pénzügyi Adatvédelmi Szabály adatvédelmi megállapodást ír elő a pénzügyi intézmény és az ügyfél között a nem nyilvános személyes adataik (NPI) védelméről.,
fontos dolog megérteni, hogy a társvállalatokkal való megosztás (bármely olyan társaság, amely irányítja, irányítja vagy közös ellenőrzés alatt áll) nem tartozik az opt-out jogához, de az ügyfeleket az Adatvédelmi értesítésnek tájékoztatnia kell.
az opt-out jogából kizárt, független felek közé tartoznak a fogyasztói adatszolgáltató ügynökségek, harmadik féltől származó gyártók, amelyek kizárólagos célja a pénzügyi intézmény marketingje, valamint a magáncímke hitelkártya-programok résztvevői, ahol a résztvevőket a programba való belépéskor azonosítják az ügyféllel.,
mi a GLBA biztosítéki szabály?
a biztosítéki szabály előírja, hogy a pénzügyi intézmények olyan átfogó információbiztonsági tervet dolgozzanak ki, hajtsanak végre és tartsanak fenn, amely felvázolja a szervezet és pénzügyi tevékenységeinek méretéhez és összetettségéhez megfelelő adminisztratív, technikai és fizikai biztosítékokat.,inst előre látható kockázatok
összefoglalva, a Biztosítékok Szabály erők pénzügyi intézmények számára, hogy közelebbről az információ biztonsági, adatvédelmi, a hálózati biztonság, valamint a számítógépes biztonság, hogy dolgozzon ki egy megértése, a számítógépes biztonság kockázata a jelenlegi ellenőrzés, rendszerek, eljárások.,
a nem nyilvános személyes adatok (NPI) adatszivárgásának megakadályozása érdekében fektessen be egy kiberbiztonsági termékbe, hogy automatikusan beolvassa a kiszivárgott hitelesítő adatokat és az adatkitettségeket.
mi a GLBA Pretexting védelem?
Pretexting, vagy social engineering, utal, amikor az egyén megpróbálja hozzáférni az ügyfél adatait hamis ürüggyel.
Ez lehet az eredménye megszemélyesítése ügyfél telefonon, e-mailben vagy e-mail hamisítás adathalász vagy spear adathalász kampányok.,
A GLBA Pretexting Protection arra ösztönzi a szervezeteket, hogy hajtsanak végre biztosítékokat a szociális tervezés ellen.
például egy pénzügyi intézmény átfogó információbiztonsági programjának részeként szociális mérnöki tudatossági képzést alkalmazhat annak érdekében, hogy csökkentse annak kockázatát, hogy a munkavállalók a szociális mérnöki támadások következtében károsítják a fogyasztói magánéletet.
Egyéb adatvédelmi védelem az OPSEC-et és a hulladékkezelést is magában foglalhatja.
További információ a közös szociális mérnöki védelmi mechanizmusokról.
mik a GLBA forgalmazói kockázatkezelési követelményei?,
Alatt GLBA, pénzügyi intézmények, aki nyilvánosságra nem nyilvános személyes adatok (NPI), hogy egy harmadik fél eladónak vagy a szolgáltatónak meg kell adnia a szerződéses megállapodás, amely megtiltja a nyilvánosságra hozatala vagy felhasználása a kényes információk más, mint hogy végezze el a célokat, amelyek az intézmény nyilvánosságra az információt, pl. marketing.,
Ez azt jelenti, hogy a pénzügyi intézmények szükséges, hogy felügyelje a szolgáltatók által:
- ésszerű lépés, hogy válassza ki, valamint megtartja a szolgáltatók, akik képesek fenntartani a megfelelő biztosítékokat az ügyfél-információk
- Szerződésben igénylő szolgáltató végrehajtása, illetve fenntartása biztosítékok
Kerülje a kereskedők anélkül, hogy SOC 2 biztosítékot, pedig fontolnod, hogy egy számítógépes biztonság eszköz, amely automatizálja eladó kockázatkezelés által figyeli a gyártók biztonsági teljesítmény azonnal, hozzárendelése biztonsági értékelés., Ez lehetővé teszi az eladó kockázati csapata számára, hogy először a leginkább veszélyeztetett gyártókat orvosolja.
Ezek az eszközök képesek biztosítani eladó kockázat értékelő kérdőív sablonok, valamint segít a szervezet dolgozzon ki egy megbízható harmadik fél kockázati értékelési keretrendszer alapján GLBA megfelelés, illetve egyéb keretek, mint az ISO 27001, valamint a NIST Kiberbiztonsági Keret.
További információ a szállítói kockázatkezelésről.
milyen szankciók vonatkoznak a GLBA be nem tartására?,
a meg Nem felelés büntetések a következők:
- $100,000 rendben van minden egyes megsértése, a pénzügyi intézmények
- $10,000 rendben van minden egyes megsértése, az egyének
- 5 év börtön az egyének
Hogyan UpGuard segíthet GLBA megfelelés
az olyan Cégek, mint az Intercontinental Exchange, Taylor Fry, A New York-i Tőzsde, IAG, Első Állami Szuper, Akamai, Hajnalcsillag, valamint a NASA is használja UpGuard, hogy védjék az adatokat, megakadályozza az adatok megsértésének, figyelemmel kíséri a réseket, kerülje a malware.,
adatsértések és adatszivárgások Szakértői vagyunk, kutatásunkat a New York Times, A Wall Street Journal, a Bloomberg, a Washington Post, a Forbes, a Reuters és a Techcrunch is bemutatta.
UpGuard Eladó Kockázatot minimalizálni azt az időt, a szervezet tölti irányító harmadik fél kapcsolatok automata eladó kérdőívek folyamatosan figyeli a gyártók biztonsági testtartás idővel, míg benchmarking őket, szemben az ipar.,
minden gyártó 50+ kritérium alapján van besorolva, mint például az SSL és a DNSSEC jelenléte, valamint a domain eltérítés kockázata, az ember-in-the-middle támadások és az adathalászat e-mail hamisítása.
minden nap, a platform pontszámok a gyártók egy kiberbiztonsági minősítés ki 950. Figyelmeztetünk, ha csökken a pontszámuk.
UpGuard BreachSight segíthet monitor DMARC, harci typosquatting, megakadályozza az adatok megsértésének, valamint adat szivárog, elkerülve a szabályozási bírságok, valamint védi a vásárló bizalmát keresztül cyber biztonsági értékelés folyamatos expozíció felismerés.,
Ha szeretné látni, hogy a szervezet hogyan halmozódik fel, szerezze be az ingyenes kiberbiztonsági minősítést.
foglaljon demót ma.
Vélemény, hozzászólás?