De Gramm-Leach-Bliley Act (GLBA, GLB Act of the Financial Services Modernization Act of 1999) is een Amerikaanse federale wet die financiële instellingen verplicht uit te leggen hoe zij de niet-openbare persoonlijke informatie van hun klanten (NPi) delen en beschermen. de GLBA heeft ook een deel van de Glass-Steagall Act van 1993 en de Bank Holding Company Act van 1956 (BHCA) ingetrokken, waardoor de belemmeringen voor banken, effectenbedrijven en verzekeringsmaatschappijen om op te treden als een combinatie van een investeringsbank, een handelsbank en een verzekeringsmaatschappij werden opgeheven.,

Wat is het doel van de Gramm-Leach-Bliley Act?

de primaire zorg van GLBA is het waarborgen van de vertrouwelijkheid van de persoonlijk identificeerbare informatie van klanten (PII) en financiële informatie door het volgen van bepaalde privacy-en beveiligingsnormen:

  • privacynormen: klanten moeten op de hoogte worden gesteld van de praktijken voor het delen van informatie en voorzien worden van een manier om opt-out van onnodig delen, zie U. S. C Titel 15 (a) Van sec., 6801
  • beveiligingsnormen: een informatiebeveiligingsbeleid hebben dat is ontworpen om de vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens en-informatie te waarborgen; klantgegevens beschermen tegen verwachte cyberaanvallen, cyberdreigingen en andere aanvalsvectoren; en beschermen tegen ongeoorloofde toegang tot of gebruik van klantgegevens of-informatie die kan leiden tot schade of ongemak voor de klant, bijvoorbeeld datalekken en datalekken, zie U. S. C Titel 15 (b) van SEC., 6801

De GLBA was geeft het Bureau voor financiële bescherming van de consument (CFPB), de Securities Exchange Commission (SEC), de Commodity Futures Trading Commission (CFTC), de Federal Trade Commission (FTC), federale bankagentschappen, federale regelgevende instanties en staatsorganen voor toezicht op verzekeringen, de mogelijkheid om verdere regelgeving uit te voeren om passende privacybepalingen en beveiligingsvoorschriften te waarborgen. Dat gezegd hebbende, kan het staatsrecht een grotere naleving vereisen, maar niet minder dan wat anders door de GLBA wordt vereist.

wie wordt gereguleerd door GLBA?,

De GLBA is van toepassing op financiële instellingen, elk bedrijf dat financiële producten en diensten aanbiedt aan particulieren, zoals leningen, financieel advies, beleggingsadvies of verzekeringen. Evenals beperkte verplichtingen voor bepaalde derden die niet-openbare persoonlijke informatie (NPi) ontvangen van GLBA gereguleerde financiële instellingen.,

voorbeelden van financiële instellingen zijn:

  • niet-bancaire hypotheekverstrekkers
  • Vastgoedbeoordelaars
  • kredietmakelaars
  • sommige financiële of beleggingsadviseurs
  • schuldinzamelaars
  • belastingaangifteopstellers
  • banken
  • aanbieders van onroerend goedafwikkelingsdiensten

aangezien GLBA gericht is op klantgegevens, zijn financiële instellingen die alleen diensten verlenen aan andere bedrijven vallen niet onder de GLBA. Evenmin is een persoon die een geldautomaat gebruikt of een cheque incasseert omdat er geen lopende klantrelatie is.,

Wat is niet-openbare persoonlijke informatie (NPi)?

niet-Openbare persoonlijke informatie (NPI) is alle persoonlijk identificeerbare informatie (PII) en financiële informatie die is:

  • Geleverd door de klant en de financiële instelling
  • als Gevolg van transacties met de klant of van de dienstverlening aan de klant
  • of Anders verkregen door de financiële instelling

de Informatie die openbaar beschikbaar is, of de informatie die de financiële instelling heeft een redelijke basis om te geloven is, is het niet de niet-openbare persoonlijke informatie (NPI)., Dat gezegd hebbende, informatie die over het algemeen openbaar is, maar privé is gemaakt (bijvoorbeeld met een niet-vermeld telefoonnummer), moet worden behandeld als niet-openbaar.,mber, burgerlijke staat, spaar-of beleggingsbedrag, betalingsgeschiedenis, saldo van leningen of deposito ‘ s, aankopen met creditcard of betaalkaart, rekeningnummers of consumentenrapporten

  • het feit dat de persoon een rekening heeft bij een bepaalde financiële instelling
  • een lijst, beschrijving of groepering van klanten die is afgeleid met behulp van een combinatie van niet-openbare persoonlijke informatie (NPi) en openbaar beschikbare informatie
  • alle informatie die de financiële instelling heeft verkregen over de klantrelatie of verzameld via cookies

    • wat zijn de voordelen van GLBA compliance?,

    naleving van GLBA is een vereiste voor de meerderheid van de financiële instellingen in de Verenigde Staten. Het vermindert ook het risico op boetes en reputatieschade veroorzaakt door datalekken en datalekken. Met de gemiddelde kosten van een datalek bereiken $ 3,92 miljoen wereldwijd, het loont om datalekken te voorkomen.

    GLBA-naleving kan ook helpen bij de naleving van de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, die afdwingbaar werd op 25 mei 2018., De AVG bevat bepalingen over het verzamelen van gegevens, het recht op toegang, het recht op verwijdering, het recht op beperking van de verwerking en het recht op gegevensoverdraagbaarheid.,rotection voordelen, zoals:

    • Privé of gevoelige informatie wordt beveiligd tegen toegang door onbevoegden
    • Klanten kennisgeving van privé-informatie-uitwisseling tussen de financiële instellingen en derden, en met de mogelijkheid om opt-out indien gewenst
    • Gebruiker en medewerker activiteit wordt bijgehouden inclusief alle pogingen om toegang te krijgen tot gevoelige informatie of beschermd records

    de voordelen van het verbeteren van de reputatie van uw organisatie en het verhogen van het vertrouwen van de klant, wat leidt tot een grotere loyaliteit van klanten, lagere churne, hogere lifetime value en minder regelgeving boetes.,

    het multinationale karakter van het bankwezen en de mogelijke implementatie van overeenkomstige regelgeving in sommige staten van de VS betekent dat financiële instellingen de wetgeving inzake privacy en gegevensbescherming serieus moeten nemen.

    Wat zijn de belangrijkste componenten van de Gramm-Leach-Bliley Act?,

    Er zijn drie belangrijke onderdelen van de GLBA, die zijn ontworpen om samen te werken om de verzameling, openbaarmaking en bescherming van niet-openbare persoonlijke informatie van klanten (NPi) te regelen, namelijk:

    • de financiële privacyregel beperkt het delen van niet-openbare persoonlijke informatie (NPi) over een individu en vereist dat financiële instellingen elke consument een privacykennisgeving verstrekken bij het begin van de klantrelatie en daarna jaarlijks.,
    • de veiligheidsregel: vereist dat financiële instellingen een informatiebeveiligingsplan ontwikkelen waarin wordt beschreven hoe de onderneming is voorbereid op en voornemens is de niet-openbare persoonsgegevens van klanten en voormalige klanten te blijven beschermen.
    • Pretexting Protection: Pretexting of social engineering vindt plaats wanneer iemand toegang probeert te krijgen tot niet-openbare persoonlijke informatie zonder toestemming om dit te doen. Dit kan inhouden dat u persoonlijke informatie opvraagt door zich voor te doen als de accounthouder per telefoon, per post of door phishing of spear phishing., GLBA moedigt organisaties aan om voorzorgsmaatregelen te nemen tegen het gebruik van valse voorwendsels.

    Wat is de GLBA Financial Privacy Rule?

    De GLBA Financial Privacy Rule beperkt het delen van niet-openbare persoonlijke informatie (NPi) en vereist dat klanten een privacykennisgeving krijgen bij het begin van de klantrelatie en daarna jaarlijks.,

    in de mededeling wordt uiteengezet welke informatie wordt verzameld, waar de informatie wordt gedeeld, hoe de informatie wordt gebruikt en hoe deze wordt beschermd, en wordt tevens gewezen op het recht van de klant om opt-out te geven voor het delen van informatie met niet-gelieerde derden overeenkomstig de bepalingen van de Wet op de rapportage over billijke kredietwaardigheid.

    als het Privacybeleid van de financiële instelling verandert, worden klanten op de hoogte gesteld van aanvaarding van wijzigingen. Wanneer de privacyverklaring opnieuw wordt ingesteld, heeft de consument het recht om zich opnieuw af te melden.,

    wanneer klanten ermee instemmen dat hun informatie wordt gedeeld met niet-gelieerde partijen, moeten de niet-gelieerde partijen de informatie verwerken in overeenstemming met de oorspronkelijke Privacyverklaring.

    kortom, de financiële privacyregel voorziet in een privacyovereenkomst tussen de financiële instelling en de klant met betrekking tot de bescherming van hun niet-openbare persoonsgegevens (NPi).,

    Het is belangrijk om te begrijpen dat delen met gelieerde ondernemingen (elk bedrijf dat zeggenschap heeft over, wordt gecontroleerd door of onder gemeenschappelijk toezicht staat) niet onderworpen is aan het recht op opt-out, maar klanten moeten worden geïnformeerd door de privacyverklaring.

    niet-gelieerde partijen die zijn uitgesloten van het recht op opt-out zijn onder meer consumenteninformatiebureaus, externe verkopers die uitsluitend tot doel hebben marketing voor de financiële instelling uit te voeren en deelnemers aan kredietkaartprogramma ‘ s met een privé-label waarbij deelnemers aan de klant worden geïdentificeerd wanneer zij het programma betreden.,

    Wat is de GLBA-veiligheidsregel?

    De Veiligheidscontroleregel vereist dat financiële instellingen een alomvattend informatiebeveiligingsplan ontwikkelen, implementeren en onderhouden waarin administratieve, technische en fysieke veiligheidscontroles worden beschreven die geschikt zijn voor de omvang en complexiteit van de organisatie en haar financiële activiteiten.,Inst voorzienbare risico ‘ s

  • regelmatig testen van huidige controles, systemen en procedures
  • evaluatie en aanpassing van het programma op basis van testen en monitoring, wijzigingen in bedrijfsactiviteiten of regelingen en andere gebeurtenissen van materiële invloed, zoals Hoe gevoelige gegevens worden verzameld, opgeslagen of gebruikt

    • samengevat dwingt de veiligheidsregel financiële instellingen om hun informatiebeveiliging, gegevensbeveiliging, netwerkbeveiliging en cyberbeveiliging nader te bekijken om inzicht te krijgen in het cyberbeveiligingsrisico van hun huidige controles, systemen en procedures.,

    om niet-openbare persoonlijke informatie (NPI) datalekken te voorkomen, investeren in een cybersecurity-product om automatisch te scannen op gelekte referenties en gegevensblootstellingen.

    Wat is de GLBA-Voorbeeldbeveiliging?

    Pretexting, of social engineering, verwijst naar wanneer een individu onder valse voorwendselen toegang probeert te krijgen tot klantinformatie.

    dit kan het resultaat zijn van het imiteren van een klant via telefoon, e-mail of via e-mail spoofing phishing of spear phishing campagnes.,

    GLBA Pretexting Protection moedigt organisaties aan om voorzorgsmaatregelen te nemen tegen social engineering. een financiële instelling kan bijvoorbeeld gebruik maken van social engineering awareness training als onderdeel van haar algemene informatiebeveiligingsprogramma om het risico te verminderen dat werknemers de privacy van consumenten zullen schaden als gevolg van een social engineering-aanval.

    andere privacybeschermingsregelingen kunnen OPSEC en afvalbeheer omvatten.

    Lees meer over gemeenschappelijke social engineering verdedigingsmechanismen.

    Wat zijn de vereisten voor het beheer van het leveranciersrisico van GLBA?,

    in het kader van de GLBA moeten financiële instellingen die niet-openbare persoonsgegevens (NPI) bekendmaken aan een derde verkoper of dienstverlener een contractuele overeenkomst sluiten die de openbaarmaking of het gebruik van de gevoelige informatie verbiedt, behalve voor het uitvoeren van de doeleinden waarvoor de instelling de informatie openbaar heeft gemaakt, bijvoorbeeld marketing.,

    Dit betekent dat financiële instellingen zijn verplicht om toezicht te houden op de service providers door:

    • het Nemen van redelijke stappen om te selecteren en behouden van dienstverleners die in staat zijn van het behoud van passende waarborgen voor de klant informatie
    • Contractueel dienstverleners te implementeren en te onderhouden veiligheidsmaatregelen

    om te Voorkomen dat leveranciers zonder SOC 2 kwaliteitszorg en overwegen te investeren in een cybersecurity-tool die kan automatiseren van de leverancier van risicomanagement door het monitoren van uw leveranciers’ security performance direct, het toekennen van een security rating., Dit zal uw vendor risk team in staat stellen om de meest risicovolle leveranciers eerst te saneren.

    deze tools kunnen vendor risk assessment questionnaire templates bieden en uw organisatie helpen een robuust third-party risk assessment framework te ontwikkelen op basis van GLBA compliance en andere frameworks zoals ISO 27001 en het NIST Cybersecurity Framework.

    Lees meer over vendor risk management.

    wat zijn de sancties bij niet-naleving van de GLBA?,

    sancties bij niet-naleving omvatten:

    • $100.000 boete voor elke overtreding voor financiële instellingen
    • $10.000 boete voor elke overtreding voor individuen
    • tot 5 jaar gevangenis voor individuen

    hoe UpGuard kan helpen met GLBA-naleving

    bedrijven als Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar en NASA gebruik upguard om hun gegevens te beschermen, datalekken te voorkomen, kwetsbaarheden te controleren en malware te voorkomen.,

    We zijn experts in datalekken en datalekken, ons onderzoek is te zien in The New York Times, Wall Street Journal, Bloomberg, Washington Post, Forbes, Reuters en Techcrunch.

    Upguard leveranciersrisico kan de hoeveelheid tijd die uw organisatie besteedt aan het beheren van relaties met derden minimaliseren door het automatiseren van vendor vragenlijsten en het continu monitoren van de beveiligingshouding van uw leveranciers in de loop van de tijd, terwijl ze worden vergeleken met hun industrie.,

    elke leverancier wordt beoordeeld aan de hand van 50+ criteria zoals de aanwezigheid van SSL en DNSSEC, evenals het risico van domeinkaping, man-in-the-middle aanvallen en e-mail spoofing voor phishing.

    elke dag scoort ons platform uw leveranciers met een cybersecurity Rating van 950. We waarschuwen je als hun score daalt.

    UpGuard BreachSight kan helpen bij het monitoren van DMARC, het bestrijden van typosquatting, het voorkomen van datalekken en datalekken, het vermijden van boetes en het beschermen van het vertrouwen van uw klant door middel van cyber security ratings en continue belichtingsdetectie.,

    Als u wilt zien hoe uw organisatie stapelt, krijgt u uw gratis Cyber Security Rating.

    boek vandaag nog een demo.