Il Gramm-Leach-Bliley Act (GLBA, GLB Act o Financial Services Modernization Act del 1999) è una legge federale degli Stati Uniti che richiede alle istituzioni finanziarie di spiegare come condividono e proteggono le informazioni personali non pubbliche dei loro clienti (NPI).

Il GLBA ha anche abrogato parte del Glass-Steagall Act del 1993 e del Bank Holding Company Act del 1956 (BHCA), eliminando le barriere per le banche, i titoli e le compagnie di assicurazione di agire come qualsiasi combinazione di una banca di investimento, banca commerciale e compagnia di assicurazioni.,

Qual è lo scopo della legge Gramm-Leach-Bliley?

La preoccupazione principale di GLBA è garantire la riservatezza delle informazioni personali (PII) e delle informazioni finanziarie dei clienti seguendo determinati standard di privacy e sicurezza:

  • Standard di privacy: i clienti devono essere informati delle pratiche di condivisione delle informazioni e forniti di un modo per rinunciare alla condivisione non necessaria, vedere il Titolo U. S. C. 15 (a) , 6801
  • standard di Sicurezza: Hanno una politica di sicurezza delle informazioni volte ad assicurare la riservatezza, l’integrità e la disponibilità dei dati dei clienti e informazioni; proteggere i record dei clienti anticipazione di attacchi informatici, le cyber-minacce e altri vettori di attacco; e la protezione contro l’accesso non autorizzato o l’uso di record dei clienti o informazioni che potrebbero causare danni o disagi per il cliente, ad esempio, le violazioni dei dati e le perdite di dati, vedi U. S. C Titolo 15 lettera b), del Sec, 6801

Il GLBA è stato dà il Consumer Financial Protection Bureau (CFPB), la Securities Exchange Commission (SEC), la Commodity Futures Trading Commission (CFTC), la Federal Trade Commission (FTC), agenzie bancarie federali, le agenzie federali di regolamentazione e di stato di assicurazione agenzie di vigilanza, la capacità di implementare ulteriori disposizioni per garantire l’adeguata in materia di privacy e delle norme di sicurezza. Detto questo, la legge statale può richiedere una maggiore conformità, ma non inferiore a quanto altrimenti richiesto dal GLBA.

Chi è regolato da GLBA?,

Il GLBA si applica alle istituzioni finanziarie, a qualsiasi attività che offra prodotti e servizi finanziari a privati come prestiti, consulenza finanziaria, consulenza sugli investimenti o assicurazione. Nonché obblighi limitati a determinate terze parti che ricevono informazioni personali non pubbliche (NPI) da istituzioni finanziarie regolamentate GLBA.,

Esempi di istituti finanziari includono:

  • Non bancari, istituti di credito ipotecario
  • immobiliare esperti
  • mediatori di Prestito
  • Alcune finanziari o consulenti di investimento
  • esattori
  • dichiarazione dei redditi preparatori
  • Banche
  • Real estate settlement service provider

Come GLBA è focalizzata sui dati del cliente, le istituzioni finanziarie che prestano esclusivamente servizi di altre aziende non sono coperti da GLBA. Né è un individuo che utilizza un bancomat o incassa un assegno perché non v ” è alcun rapporto con il cliente in corso.,

Che cosa sono le informazioni personali non pubbliche (NPI)?

informazioni personali Riservate (NPI) è tutte le informazioni di identificazione personale (PII), e le informazioni finanziarie che sono:

  • Fornito dal cliente per l’istituzione finanziaria
  • Derivanti da transazioni con il cliente o qualsiasi servizio fornito al cliente
  • Altrimenti ottenuto dall’istituzione finanziaria

Informazioni pubblicamente disponibili, o informazioni che l’istituto dispone di una base ragionevole per credere, non è informazioni personali riservate (NPI)., Detto questo, le informazioni che sono generalmente pubbliche ma sono state rese private (ad esempio avere un numero di telefono non elencato), devono essere trattate come non pubbliche.,mber, stato civile, la quantità di risparmio o di investimento, la storia di pagamento, di prestito o di deposito di bilancio, credito o di debito, carte acquisti, numeri di conto o consumer reports

  • Il fatto che l’individuo ha un account con una particolare istituzione finanziaria
  • l’elenco, descrizione o di raggruppamento dei clienti è derivato utilizzando una combinazione di informazioni personali riservate (NPI) e informazioni pubblicamente disponibili
  • le informazioni che l’istituto finanziario ha ottenuto oltre il rapporto con il cliente o raccolte attraverso i cookies

    • Quali sono i vantaggi di conformità GLBA?,

    La conformità GLBA è un requisito per la maggior parte delle istituzioni finanziarie negli Stati Uniti. Riduce inoltre il rischio di sanzioni e danni alla reputazione causati da violazioni dei dati e perdite di dati. Con il costo medio di una violazione dei dati che raggiunge globally 3.92 milioni a livello globale, vale la pena prevenire le violazioni dei dati.

    La conformità GLBA può anche aiutare a rispettare il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea, che è diventato applicabile in 25 maggio, 2018., Il GDPR prevede disposizioni in materia di raccolta dei dati, diritti di accesso, diritti di cancellazione, diritto alla limitazione del trattamento e diritto alla portabilità dei dati.,rotection benefici, come:

    • informazioni Private o dati sensibili di essere protetti da accessi non autorizzati
    • Clienti di essere informati di privati per la condivisione delle informazioni tra le istituzioni finanziarie e di terze parti, e avendo la possibilità di opt-out, se desiderato
    • Utente e l’attività dei dipendenti di essere rintracciati tra cui tutti i tentativi di accedere a informazioni riservate o protette record

    Questi vantaggi, migliorare la reputazione della vostra organizzazione e aumentare la fiducia del cliente, che porta a una maggiore fidelizzazione del cliente, inferiore churne, lifetime value e meno multe.,

    La natura multinazionale del settore bancario e la possibile attuazione della regolamentazione corrispondente in alcuni stati degli Stati Uniti significa che le istituzioni finanziarie devono prendere sul serio le leggi sulla privacy e sulla protezione dei dati.

    Quali sono i principali componenti dell’atto Gramm-Leach-Bliley?,

    Ci sono tre componenti principali del GLBA, progettati per lavorare insieme per disciplinano la raccolta, la divulgazione e la tutela dei clienti, informazioni personali riservate (NPI), vale a dire:

    • La Finanziaria Privacy Regola: Limita la condivisione delle informazioni personali riservate (NPI) su un individuo e richiede alle istituzioni finanziarie di fornire ogni cliente con un avviso sulla privacy all’inizio del rapporto con il cliente e successivamente ogni anno.,
    • La regola di salvaguardia: richiede alle istituzioni finanziarie di sviluppare un piano di sicurezza delle informazioni che descrive come l’azienda è preparata e prevede di continuare a proteggere le informazioni personali non pubbliche (NPI) dei clienti e degli ex clienti.
    • Pretexting Protection: Pretexting o ingegneria sociale si verifica quando qualcuno cerca di ottenere l’accesso a informazioni personali non pubbliche senza l’autorità di farlo. Ciò può comportare la richiesta di informazioni private impersonando il titolare del conto per telefono, per posta o tramite phishing o spear phishing., GLBA incoraggia le organizzazioni a implementare misure di salvaguardia contro pretesti.

    Qual è la regola sulla privacy finanziaria GLBA?

    La regola sulla privacy finanziaria GLBA limita la condivisione di informazioni personali non pubbliche (NPI) e richiede ai clienti di ricevere un’informativa sulla privacy all’inizio del rapporto con il cliente e successivamente annualmente.,

    L’avviso delinea quali informazioni vengono raccolte, dove le informazioni vengono condivise, come le informazioni vengono utilizzate e come sono protette, nonché evidenzia il diritto del cliente di rinunciare alla condivisione delle informazioni con terze parti non affiliate ai sensi delle disposizioni del Fair Credit Reporting Act.

    Se la politica sulla privacy dell’istituto finanziario cambia, i clienti vengono avvisati per l’accettazione delle modifiche. Quando l’informativa sulla privacy è ristabilita, il consumatore ha il diritto di opt out di nuovo.,

    Quando i clienti accettano di condividere le loro informazioni con le parti non affiliate, le parti non affiliate devono gestire le informazioni in conformità con l’accordo di informativa sulla privacy originale.

    In breve, la regola sulla privacy finanziaria fornisce un accordo sulla privacy tra l’istituto finanziario e il cliente relativo alla protezione delle loro informazioni personali non pubbliche (NPI).,

    Una cosa importante da capire che la condivisione con le affiliate (qualsiasi società controllante, controllata da o sotto controllo comune) non è soggetta al diritto di opt-out, ma i clienti devono essere informati dall’informativa sulla privacy.

    Le parti non affiliate che sono escluse dal diritto di opt-out includono agenzie di segnalazione dei consumatori, fornitori di terze parti il cui unico scopo è quello di eseguire marketing per l’istituto finanziario e partecipanti a programmi di carte di credito private label in cui i partecipanti sono identificati al cliente quando entrano nel programma.,

    Qual è la regola di salvaguardia GLBA?

    La regola di salvaguardia richiede alle istituzioni finanziarie di sviluppare, implementare e mantenere un piano di sicurezza delle informazioni completo che delinea le garanzie amministrative, tecniche e fisiche appropriate per le dimensioni e la complessità dell’organizzazione e delle sue attività finanziarie.,inst rischi prevedibili

  • controllo Regolare dei controlli esistenti, di sistemi e di procedure
  • la Valutazione e l’adeguamento del programma sulla base di test e monitoraggio, i cambiamenti nelle operazioni di business o di accordi e di altri eventi di impatto materiale come sensibili come i dati vengono raccolti, conservati o utilizzati

    • In sintesi, le Garanzie di Regola forze le istituzioni finanziarie a prendere uno sguardo più da vicino la loro sicurezza delle informazioni, sicurezza dei dati, la sicurezza di rete e di sicurezza informatica per sviluppare una comprensione della cybersecurity rischio della loro corrente di controlli, di sistemi e di procedure.,

    Per evitare perdite di dati non pubblici (NPI), investire in un prodotto di sicurezza informatica per eseguire automaticamente la scansione di credenziali trapelate ed esposizioni di dati.

    Qual è la protezione Pretexting GLBA?

    Pretexting, o ingegneria sociale, si riferisce a quando un individuo tenta di ottenere l’accesso alle informazioni dei clienti sotto falsi pretesti.

    Questo potrebbe essere il risultato di impersonare un cliente tramite telefono, e-mail o tramite e-mail spoofing phishing o campagne di spear phishing.,

    GLBA Pretexting Protection incoraggia le organizzazioni a implementare misure di salvaguardia contro l’ingegneria sociale.

    Ad esempio, un istituto finanziario può impiegare la formazione di sensibilizzazione di ingegneria sociale come parte del suo programma generale di sicurezza delle informazioni per ridurre il rischio che i dipendenti danneggino la privacy dei consumatori a seguito di attacchi di ingegneria sociale.

    Altri controlli di protezione della privacy possono includere OPSEC e gestione dei rifiuti.

    Per saperne di più sui comuni meccanismi di difesa di ingegneria sociale.

    Quali sono i requisiti di gestione del rischio del fornitore di GLBA?,

    Ai sensi del GLBA, le istituzioni finanziarie che divulgano informazioni personali non pubbliche (NPI) a un fornitore o fornitore di servizi di terze parti devono stipulare un accordo contrattuale che vieta la divulgazione o l’uso delle informazioni sensibili al di fuori dello scopo per il quale l’ente ha divulgato le informazioni, ad esempio il marketing.,

    Questo significa che gli istituti finanziari sono tenuti a sorvegliare service provider:

    • Prendere misure ragionevoli per selezionare e trattenere i fornitori di servizi che sono in grado di mantenere le opportune garanzie per clienti di informazione;
    • Contrattualmente chiedere ai prestatori di servizi di implementazione e gestione di garanzie

    Evitare di fornitori senza SOC 2 e di assicurazione di prendere in considerazione di investire in un cybersecurity strumento in grado di automatizzare venditore di gestione del rischio, monitorando i fornitori di prestazioni di sicurezza istantaneamente, assegnando loro una valutazione., Ciò consentirà al team di rischio del fornitore di correggere prima i fornitori più a rischio.

    Questi strumenti possono fornire modelli di questionario per la valutazione del rischio dei fornitori e aiutare la tua organizzazione a sviluppare un robusto framework di valutazione del rischio di terze parti basato sulla conformità GLBA e altri framework come ISO 27001 e il framework NIST Cybersecurity.

    Per saperne di più sulla gestione del rischio del fornitore.

    Quali sono le sanzioni per la non conformità GLBA?,

    Non conformità sanzioni includono:

    • 100.000 dollari di multa per ogni violazione da parte delle istituzioni finanziarie
    • $10.000 di multa per ogni violazione per gli individui
    • Fino a 5 anni di carcere per le persone

    Come UpGuard può aiutare con GLBA conformità

    Aziende come Intercontinental Exchange, Taylor Friggere, Il New York Stock Exchange, IAG, Primo Stato Super, Akamai, Morningstar e la NASA utilizza UpGuard per proteggere i loro dati, prevenire le violazioni dei dati, monitor per la vulnerabilità e di evitare malware.,

    Siamo esperti in violazioni dei dati e fughe di dati, la nostra ricerca è stata descritta sul New York Times, Wall Street Journal, Bloomberg, Washington Post, Forbes, Reuters e Techcrunch.

    UpGuard Vendor Risk può ridurre al minimo il tempo impiegato dalla tua organizzazione nella gestione delle relazioni di terze parti automatizzando i questionari dei fornitori e monitorando continuamente la posizione di sicurezza dei fornitori nel tempo, confrontandoli con il loro settore.,

    Ogni fornitore è valutato in base a oltre 50 criteri come la presenza di SSL e DNSSEC, oltre al rischio di dirottamento del dominio, attacchi man-in-the-middle e spoofing delle e-mail per il phishing.

    Ogni giorno, la nostra piattaforma segna i tuoi fornitori con un punteggio di sicurezza informatica su 950. Ti avviseremo se il loro punteggio scende.

    UpGuard BreachSight può aiutare a monitorare la presenza di DMARC, a combattere gli errori di battitura, a prevenire le violazioni dei dati e le fughe di dati, a evitare multe normative e a proteggere la fiducia dei clienti attraverso valutazioni di sicurezza informatica e rilevamento continuo dell’esposizione.,

    Se vuoi vedere come la tua organizzazione si accumula, ottieni la tua valutazione di sicurezza informatica gratuita.

    Prenota una demo oggi.