Gramm-Leach-Bliley Act (GLBA, GLB Handle eller den Finansielle Tjenester Modernisering Act av 1999) er en føderal amerikansk lov som krever at finansinstitusjoner for å forklare hvordan de dele og beskytte sine kunder’ ikke-offentlig personlig informasjon (NPI).

GLBA også opphevet del av Glass-Steagall Act 1993 og Bank Holdingselskap Loven av 1956 (BHCA), fjerne barrierer for bank, verdipapirer og forsikringsselskaper til å fungere som en hvilken som helst kombinasjon av en investering bank, kommersiell bank og forsikringsselskap.,

Hva er formålet med Gramm-Leach-Bliley Act?

Den primære bekymring for GLBA er å sikre konfidensialitet av kunder personlig identifiserbar informasjon (PII) og finansiell informasjon ved å følge visse personvern og sikkerhet:

  • standarder for Personvern: Kunder må være varslet om deling av informasjon praksis og utstyrt med en måte å melde seg ut av unødvendige deler, se U. S. C Tittelen 15 (a) av Sek., 6801
  • Sikkerhet: Har et information security policy som skal sikre konfidensialitet, integritet og tilgjengelighet av kunderegistre og informasjon; beskytte kunderegistre fra forventet cyber-angrep, cyber trusler og andre angrep vektorer, og beskytte mot uautorisert tilgang til eller bruk av kundens oppføringer eller informasjon som kan resultere i skade eller ulempe for kunden, for eksempel datainnbrudd og data lekker, se U. S. C Tittelen 15 (b) av Sek., 6801

GLBA var gir Consumer Financial Protection Bureau (CFPB), Securities Exchange Commission (SEC), Commodity Futures Trading Commission (CFTC), Federal Trade Commission (FTC), federal bank etater og statlige instanser og staten forsikring tilsyn etater, evnen iverksette ytterligere reguleringer for å sikre hensiktsmessige retningslinjer for avsetning og sikkerhets forskrifter. Når det er sagt, statlig lovgivning kan kreve større samsvar, men ikke mindre enn hva som ellers kreves av GLBA.

Som er regulert av GLBA?,

GLBA gjelder for finansinstitusjoner, enhver bedrift som tilbyr finansielle produkter og tjenester til enkeltpersoner som lån, finansiell rådgivning, investering råd eller forsikring. Samt begrenset forpliktelser på bestemte tredjeparter som mottar ikke-offentlig personlig informasjon (NPI) fra GLBA regulerte finansinstitusjoner.,

Eksempler på finansielle institusjoner inkluderer:

  • Ikke-bank boliglån långivere
  • Real estate takstmenn
  • Lån meglere
  • Noen økonomiske eller investeringsrådgivere
  • Gjeld samlere
  • selvangivelse preparers
  • Banker
  • eiendomsmegling oppgjør tjenesteleverandører

Som GLBA er fokusert på kundens data, finansielle institusjoner som bare gir tjenester til andre virksomheter er ikke omfattet av GLBA. Heller ikke er en person som bruker en MINIBANK eller utgjør en sjekk fordi det er ingen løpende kundeforholdet.,

Hva er ikke-offentlig personlig informasjon (NPI)?

ikke-offentlig personlig informasjon (NPI) er all personlig identifiserbar informasjon (PII) og finansiell informasjon som er:

  • Gitt av kunden til finansinstitusjon
  • som følge av transaksjoner med kunden eller en tjeneste gitt til kunde
  • Ellers innhentet av den finansielle institusjonen

Informasjon som er offentlig tilgjengelig, eller informasjon som den finansielle institusjonen har et rimelig grunnlag for å tro er, er ikke ikke-offentlig personlig informasjon (NPI)., Når det er sagt, informasjon som er vanligvis offentlige, men har blitt gjort private (f.eks. å ha hemmelige telefonnumre), må behandles som ikke-offentlig.,mber, ekteskapelig status, antall sparing eller investering, betalingshistorikk, lån eller innskudd balanse -, kreditt-eller debetkort, kontonumre eller forbruker rapporter

  • Det faktum at enkelte har en konto med en bestemt finansinstitusjon
  • en liste, beskrivelsen eller gruppering av kunder som er avledet ved hjelp av en kombinasjon av ikke-offentlig personlig informasjon (NPI) og offentlig tilgjengelig informasjon
  • All informasjon den finansielle institusjonen har fått over kundeforholdet eller samlet inn gjennom informasjonskapsler

    • Hva er fordelene med GLBA samsvar?,

    GLBA compliance er en forutsetning for de fleste av finansinstitusjoner i Usa. Det senker også risikoen for straff og omdømmemessige skade forårsaket av data brudd og data lekker. Med den gjennomsnittlige kostnaden for et datainnbrudd å nå $3.92 millioner globalt, lønner det seg å hindre at data brudd.

    GLBA samsvar kan også hjelpe med samsvar med Eu ‘ s General Data Protection Regulation (GDPR), som ble rettskraftig i 25 Mai 2018., GDPR povides bestemmelser om innsamling av data, rettigheter til å få tilgang til, retten til å slette, rett til begrensning av behandling og retten til data portabilitet.,rotection fordeler som:

    • Privat eller sensitiv informasjon er sikret mot uautorisert tilgang
    • Kundene blir varslet av privat deling av informasjon mellom finansielle institusjoner og tredjeparter, og å ha evne til å melde seg ut hvis det er ønskelig
    • Bruker og ansatt aktivitet spores inkludert eventuelle forsøk på å få tilgang til sensitiv informasjon eller beskyttet poster

    Disse fordelene forbedre omdømmet til organisasjonen og øke kundenes tillit, som fører til økt kundelojalitet, lavere churne, høyere lifetime verdi og mindre regulerende bøter.,

    Den multinasjonale arten av bank-og mulig gjennomføring av tilsvarende regulering i enkelte AMERIKANSKE stater betyr finansinstitusjoner trenger å ta personvern og databeskyttelse lover på alvor.

    Hva er de viktigste komponentene i Gramm-Leach-Bliley Act?,

    Det er tre store komponenter av GLBA, designet for å arbeide sammen for å regulerer innsamling, formidling og beskyttelse av kundenes ikke-offentlig personlig informasjon (NPI), nemlig:

    • Den Finansielle Personvern Regel: Begrenser deling av ikke-offentlig personlig informasjon (NPI) om et individ og krever finansinstitusjoner for å gi hver forbruker med en merknad om personvern i starten av kundeforholdet og deretter årlig.,
    • ivareta Regel: Krever at finansinstitusjoner for å utvikle en informasjons-sikkerhet plan som beskriver hvordan selskapet er forberedt på og har planer om å fortsette å beskytte kunder og tidligere kunder’ ikke-offentlig personlig informasjon (NPI).
    • Pretexting Beskyttelse: Pretexting eller social engineering oppstår når noen forsøker å få tilgang til ikke-offentlig personlig informasjon uten myndighet til å gjøre det. Dette kan medføre ber om private informasjon ved å utgi seg som konto innehaver av telefonen, via e-post eller ved phishing eller spyd phishing., GLBA oppfordrer organisasjonene til å gjennomføre sikringstiltak mot pretexting.

    Hva er GLBA Finansielle Personvern Regel?

    GLBA Finansielle Personvern Regelen begrenser deling av ikke-offentlig personlig informasjon (NPI) og krever kunder til å bli gitt en merknad om personvern i starten av kundeforholdet og deretter årlig.,

    innkallingen beskriver hva slags informasjon som er samlet inn, hvor informasjon deles, hvordan opplysningene brukes, og hvordan den er beskyttet, så vel som høydepunkt kundens rett til å melde deg ut for deling av informasjon med nonaffiliated tredjeparter i henhold til bestemmelsene i Fair Credit Reporting Act.

    Dersom den finansielle institusjonen retningslinjer for personvern endres, kundene bli varslet for aksept av endringene. Whenvere personvernerklæringen er gjengitt, forbrukeren har rett til å melde deg ut igjen.,

    Når kunden godtar at kunden skal få sin informasjon delt med utenforstående parter, utenforstående parter må håndtere informasjon i samsvar med den opprinnelige merknad om personvern avtalen.

    kort sagt, den Finansielle Personvern Regelen gir noen retningslinjer for avtale mellom den finansielle institusjonen og kunden knyttet til beskyttelse av deres ikke-offentlig personlig informasjon (NPI).,

    En viktig ting å forstå at det å dele med tilknyttede selskaper (alle selskap som kontrollerer, er kontrollert av, eller er under felles kontroll) er ikke underlagt rett til å melde deg ut, men kundene må bli informert av personvernerklæringen.

    Utenforstående parter som er unntatt fra retten til å velge bort inkluderer forbruker rapportering byråer, tredjeparts forhandlere som har som eneste formål er å utføre markedsføring for den finansielle institusjonen, og deltakerne i private label kredittkort programmer hvor deltakerne er identifisert til kunden når de går inn i programmet.,

    Hva er GLBA Sikringstiltak Regel?

    Sikkerhetsforanstaltningene som Regel krever finansinstitusjoner for å utvikle, implementere og vedlikeholde et omfattende informasjon security plan som beskriver administrative, tekniske og fysiske sikkerhetstiltak som er aktuelle for størrelsen og kompleksiteten i organisasjonen og dens finansielle aktiviteter.,inst påregnelig risiko

  • Regelmessig testing av gjeldende kontroller, systemer og prosedyrer
  • Evaluering og justering av program basert på testing og overvåking av endringer i virksomheten eller arrangementer og andre hendelser av vesentlig påvirkning, for eksempel hvor sensitive data er samlet inn, lagret eller brukt

    • I sammendraget, det Beskyttelsestiltak som Regel styrker finansinstitusjoner for å ta en nærmere titt på deres informasjonssikkerhet, data security, network security-og cybersecurity å utvikle en forståelse av cybersecurity risiko for deres nåværende kontroller, systemer og prosedyrer.,

    for Å hindre at ikke-offentlig personlig informasjon (NPI) data lekker, investere i en cybersecurity-produkt for å automatisk søke etter lekket legitimasjon og data eksponeringer.

    Hva er GLBA Pretexting Beskyttelse?

    Pretexting, eller social engineering, refererer til når en person forsøk på å få tilgang til kundeinformasjon på falskt grunnlag.

    Dette kan være resultat av utgir seg for å være en kunde via telefon, e-post eller via e-post spoofing phishing eller spyd phishing-kampanjer.,

    GLBA Pretexting Beskyttelse oppfordrer organisasjonene til å gjennomføre sikringstiltak mot sosial ingeniørkunst.

    For eksempel, en finansinstitusjon kan ansette social engineering bevissthet trening som en del av sin generelle information security program for å redusere risikoen for at ansatte vil skade forbrukernes personvern som følge av en social engineering-angrep.

    Andre personvern kontroller kan omfatte OPSEC og håndtering av avfall.

    Les mer om felles social engineering forsvarsmekanismer.

    Hva er leverandør risikostyring kravene i GLBA?,

    Under GLBA, finansielle institusjoner som utlevere ikke-offentlig personlig informasjon (NPI) til en tredjeparts leverandør eller tjenesteleverandøren må gå inn i en kontraktsmessig avtale som forbyr utlevering eller bruk av sensitive opplysninger til annet enn å gjennomføre de formål som institusjonen offentliggjort informasjon, f.eks. markedsføring.,

    Dette betyr at finansinstitusjoner er pålagt å føre tilsyn med tjenesteytere av:

    • Tar rimelige skritt for å velge ut og ta vare tjenesteytere som er i stand til å opprettholde egnede beskyttelsestiltak for kundeinformasjon
    • Kontraktsmessig krever tjenesteleverandører for å implementere og vedlikeholde sikringstiltak

    Unngå leverandører uten SOC 2 assurance og vurdere å investere i en cybersecurity verktøy som kan automatisere leverandør risikostyring ved å overvåke leverandører sikkerhet ytelse umiddelbart, tildele dem en sikkerhet rating., Dette vil tillate din leverandør risiko for teamet til å avhjelpe de mest utsatte leverandører første.

    Disse verktøyene kan gi leverandøren risk assessment questionnaire maler og hjelpe organisasjonen med å utvikle en robust tredjeparts risikovurdering rammeverk basert på GLBA garanti og andre rammeverk som ISO 27001 og NIST Cybersecurity Framework.

    Les mer om leverandøren risikostyring.

    Hva er straffen for GLBA ikke-oppfyllelse?,

    Ikke-samsvar straffer inkluderer:

    • $100.000 i bot for hver overtredelse for finansinstitusjoner
    • $10 000 i bot for hver overtredelse for enkeltpersoner
    • Opp til 5 år i fengsel for enkeltpersoner

    Hvordan UpGuard kan hjelpe med GLBA samsvar

    Selskaper som Intercontinental Exchange, Taylor Yngel, New York Stock Exchange, IAG, Første Staten Super, Akamai, Morningstar og NASA bruk UpGuard for å beskytte sine data, hindre datainnbrudd, monitor for sårbarheter, og unngå skadelig programvare.,

    Vi er eksperter på data brudd og data lekker, vår forskning har blitt omtalt i the New York Times, Wall Street Journal, Bloomberg, Washington Post, Forbes, Reuters og Techcrunch.

    UpGuard Leverandør Risiko kan minimere mengden av tiden din organisasjon bruker på å administrere tredjeparts relasjoner ved å automatisere leverandør spørreskjemaer og kontinuerlig overvåking av leverandører » sikkerhet holdning over tid, mens benchmarking dem mot deres bransje.,

    Hver leverandør er vurdert mot 50+ kriterier, for eksempel tilstedeværelsen av SSL og DNSSEC, samt risikoen for domenet kapring, man-in-the-middle-angrep og e-spoofing for phishing.

    Hver dag, vår plattform poengsummene dine kreditorer med Cyber Security Rating ut av 950. Vi vil varsle deg hvis deres score synker.

    UpGuard BreachSight kan hjelpe monitor for DMARC, bekjempe typosquatting, hindre datainnbrudd og data lekker, unngå regulatoriske bøter og beskytte kundenes tillit gjennom cyber security rangeringer og kontinuerlig eksponering gjenkjenning.,

    Hvis du ønsker å se hvordan organisasjonen stabler opp, få dine gratis Cyber Security Rating.

    Bestill en demonstrasjon i dag.