Gramm-Leach-Bliley Act (GLBA, GLB Act lub Financial Services Modernization Act of 1999) jest Prawem Federalnym Stanów Zjednoczonych zobowiązującym instytucje finansowe do wyjaśnienia, w jaki sposób udostępniają i chronią Niepubliczne dane osobowe swoich klientów (NPI).
GLBA uchyliła również część ustawy Glass-Steagall z 1993 r.i ustawy o bankach holdingowych z 1956 r. (BHCA), usuwając bariery utrudniające bankom, papierom wartościowym i firmom ubezpieczeniowym działanie jako połączenie Banku Inwestycyjnego, banku komercyjnego i towarzystwa ubezpieczeniowego.,
jaki jest cel ustawy Gramm-Leach-Bliley?
głównym celem GLBA jest zapewnienie poufności danych osobowych klientów (PII) i informacji finansowych poprzez przestrzeganie pewnych standardów prywatności i bezpieczeństwa:
- standardy prywatności: klienci muszą być powiadamiani o praktykach udostępniania informacji i zapewniony sposób rezygnacji z niepotrzebnego udostępniania, patrz U. S. C Tytuł 15 (A) Z sec., 6801
- standardy bezpieczeństwa: mają politykę bezpieczeństwa informacji zaprojektowaną w celu zapewnienia poufności, integralności i dostępności zapisów i informacji klientów; ochrony zapisów klientów przed przewidywanymi atakami cybernetycznymi, zagrożeniami cybernetycznymi i innymi wektorami ataków; oraz ochrony przed nieautoryzowanym dostępem lub wykorzystaniem zapisów lub informacji klientów, które mogłyby spowodować szkody lub niedogodności dla klienta, np. naruszenia danych i wycieków danych, patrz U. S. C Tytuł 15 (b) z SEC., 6801
GLBA został daje Consumer Financial Protection Bureau( CFPB), Securities Exchange Commission (SEC), Commodity Futures Trading Commission (CFTC), Federal Trade Commission (FTC), federalne agencje bankowe, federalne agencje regulacyjne i Państwowe Agencje Nadzoru Ubezpieczeniowego, możliwość wdrożenia dalszych przepisów w celu zapewnienia odpowiednich przepisów dotyczących prywatności i bezpieczeństwa. To powiedziawszy, prawo państwowe może wymagać większej zgodności, ale nie mniej niż to, co jest wymagane w inny sposób przez GLBA.
kto jest regulowany przez GLBA?,
GLBA dotyczy instytucji finansowych, każdej firmy oferującej produkty i usługi finansowe dla osób fizycznych, takie jak kredyty, doradztwo finansowe, Doradztwo inwestycyjne czy ubezpieczenia. Jak również ograniczone zobowiązania wobec niektórych stron trzecich, które otrzymują Niepubliczne dane osobowe (NPI) od instytucji finansowych regulowanych przez GLBA.,
przykłady instytucji finansowych obejmują:
- pozabankowych kredytodawców hipotecznych
- rzeczoznawców nieruchomości
- pośredników kredytowych
- niektórych doradców finansowych lub inwestycyjnych
- windykatorów
- przygotowujących zeznania podatkowe
- banki
- dostawcy usług rozliczania nieruchomości
ponieważ GLBA koncentruje się na Danych Klientów, instytucje finansowe, które świadczenie usług na rzecz innych przedsiębiorstw nie jest objęte GLBA. Nie jest również osoba, która korzysta z bankomatu lub realizuje czek, ponieważ nie ma trwających relacji z klientami.,
czym są Niepubliczne dane osobowe (NPI)?
Niepubliczne dane osobowe (NPI) to wszystkie dane osobowe (PII) i informacje finansowe, które są:
- Dostarczone przez Klienta do instytucji finansowej
- wynikające z wszelkich transakcji z klientem lub jakiejkolwiek usługi świadczonej na rzecz Klienta
- w inny sposób uzyskane przez instytucję finansową
informacje, które są publicznie dostępne lub informacje, że instytucja finansowa ma uzasadnione podstawy, aby sądzić, nie są NPI)., Mimo to informacje, które są ogólnie publiczne, ale zostały uczynione prywatnymi (np. mają Niepubliczny numer telefonu), muszą być traktowane jako Niepubliczne.,mber, stan cywilny, kwota oszczędności lub inwestycji, historia płatności, saldo kredytu lub depozytu, zakupy kartą kredytową lub debetową, numery kont lub raporty konsumenckie
jakie są korzyści z zgodność z GLBA?,
zgodność z GLBA jest wymogiem większości instytucji finansowych w Stanach Zjednoczonych. Zmniejsza to również ryzyko kar i szkód reputacyjnych spowodowanych naruszeniem ochrony danych i wyciekiem danych. Przy średnim koszcie naruszenia danych sięgającym 3,92 miliona dolarów na całym świecie, opłaca się zapobiegać naruszeniom danych.
zgodność z GLBA może również pomóc w przestrzeganiu ogólnego rozporządzenia Unii Europejskiej o ochronie danych (RODO), które stało się egzekwowalne w 25 maja 2018 roku., RODO określa przepisy dotyczące gromadzenia danych, prawa dostępu, prawa do usunięcia, prawa do ograniczenia przetwarzania oraz prawa do przenoszenia danych.,korzyści takie jak:
- zabezpieczenie prywatnych lub wrażliwych informacji przed nieautoryzowanym dostępem
- klienci są powiadamiani o wymianie prywatnych informacji między instytucjami finansowymi a stronami trzecimi i mają możliwość rezygnacji w razie potrzeby
- śledzenie aktywności użytkowników i pracowników, w tym wszelkich prób uzyskania dostępu do poufnych informacji lub chronionych rekordów
korzyści te poprawiają reputację organizacji i zwiększają zaufanie klientów, co prowadzi do większej lojalności klientów, niższego churne, wyższej wartości życia i mniej kar regulacyjnych.,
wielonarodowy charakter bankowości i ewentualne wdrożenie odpowiednich regulacji w niektórych stanach USA oznacza, że instytucje finansowe muszą poważnie traktować przepisy dotyczące prywatności i ochrony danych.
jakie są główne składniki ustawy Gramm-Leach-Bliley?,
istnieją trzy główne składniki GLBA, zaprojektowane do współpracy w celu regulowania gromadzenia, ujawniania i ochrony niepublicznych danych osobowych klientów (NPI), a mianowicie:
- zasada Prywatności finansowej: ogranicza udostępnianie niepublicznych danych osobowych (NPI) o osobie i wymaga od instytucji finansowych dostarczenia każdemu konsumentowi informacji o prywatności na początku relacji z Klientem, a następnie co roku.,
- zasada zabezpieczeń: wymaga od instytucji finansowych opracowania planu bezpieczeństwa informacji, który opisuje, w jaki sposób firma jest przygotowana i planuje nadal chronić Niepubliczne dane osobowe klientów i byłych klientów (NPI).
- Ochrona przed pretekstem: pretekst lub inżynieria społeczna ma miejsce, gdy ktoś próbuje uzyskać dostęp do niepublicznych danych osobowych bez upoważnienia do tego. Może to wiązać się z żądaniem prywatnych informacji poprzez podszywanie się pod posiadacza konta telefonicznie, pocztą lub poprzez phishing lub spear phishing., GLBA zachęca organizacje do wdrożenia zabezpieczeń przed pretekstem.
Co to jest zasada Prywatności finansowej GLBA?
reguła Prywatności finansowej GLBA ogranicza udostępnianie niepublicznych danych osobowych (NPI) i wymaga, aby klienci byli informowani o prywatności na początku relacji z Klientem, a następnie co roku.,
zawiadomienie określa, jakie informacje są gromadzone, gdzie informacje są udostępniane, w jaki sposób informacje są wykorzystywane i w jaki sposób są chronione, a także podkreśla prawo klienta do rezygnacji z udostępniania informacji osobom trzecim niezrzeszonym zgodnie z przepisami ustawy o sprawozdawczości w zakresie Fair Credit.
jeśli polityka prywatności instytucji finansowej ulegnie zmianie, klienci zostaną powiadomieni o akceptacji zmian. Po przywróceniu informacji o ochronie prywatności konsument ma prawo ponownie zrezygnować.,
gdy klienci wyrażają zgodę na udostępnianie ich informacji stronom niezrzeszonym, strony niezrzeszone muszą postępować z informacjami zgodnie z pierwotną umową o ochronie prywatności.
W skrócie, zasada Prywatności finansowej zawiera umowę o ochronie prywatności między instytucją finansową a klientem dotyczącą ochrony ich niepublicznych danych osobowych (NPI).,
ważne jest, aby zrozumieć, że udostępnianie danych podmiotom stowarzyszonym (wszelkim firmom kontrolującym, kontrolowanym przez lub znajdującym się pod wspólną kontrolą) nie podlega prawu do rezygnacji, ale klienci muszą zostać poinformowani w Polityce prywatności.
strony niezrzeszone, które są wyłączone z prawa do rezygnacji, obejmują agencje raportujące konsumentów, dostawców zewnętrznych, których jedynym celem jest prowadzenie marketingu dla instytucji finansowej oraz uczestników programów kart kredytowych pod marką własną, w których uczestnicy są identyfikowani przez Klienta po wejściu do programu.,
na czym polega zasada ochrony GLBA?
zasada zabezpieczeń wymaga od instytucji finansowych opracowania, wdrożenia i utrzymania kompleksowego planu bezpieczeństwa informacji, który określa administracyjne, techniczne i fizyczne zabezpieczenia, które są odpowiednie dla wielkości i złożoności organizacji i jej działań finansowych.,inst przewidywalne ryzyko
podsumowując, zasada zabezpieczeń zmusza instytucje finansowe do bliższego przyjrzenia się bezpieczeństwu informacji, bezpieczeństwa danych, bezpieczeństwa sieci i cyberbezpieczeństwa w celu zrozumienia ryzyka cyberbezpieczeństwa związanego z ich obecnymi kontrolami, systemami i procedurami.,
aby zapobiec wyciekom niepublicznych danych osobowych (NPI), zainwestuj w produkt cyberbezpieczeństwa, który automatycznie skanuje w poszukiwaniu wycieków poświadczeń i ekspozycji na dane.
na czym polega Ochrona przed GLBA?
Pretexting, czyli inżynieria społeczna, odnosi się do sytuacji, gdy dana osoba próbuje uzyskać dostęp do informacji o kliencie pod fałszywym pretekstem.
może to być wynikiem podszywania się pod klienta za pomocą telefonu, poczty e-mail lub poprzez fałszywe kampanie phishingowe lub phishingowe.,
GLBA Pretexting Protection zachęca organizacje do wdrożenia zabezpieczeń przed socjotechniką.
na przykład instytucja finansowa może zastosować szkolenie z inżynierii społecznej w ramach ogólnego programu bezpieczeństwa informacji, aby zmniejszyć ryzyko, że pracownicy będą szkodzić prywatności konsumentów w wyniku ataków inżynierii społecznej.
inne kontrole ochrony prywatności mogą obejmować OPSEC i zarządzanie odpadami.
Czytaj więcej o wspólnych mechanizmach obrony socjotechniki.
jakie są wymagania w zakresie zarządzania ryzykiem dostawcy GLBA?,
w ramach GLBA instytucje finansowe, które ujawniają Niepubliczne dane osobowe (NPI) zewnętrznemu sprzedawcy lub usługodawcy, muszą zawrzeć umowę zakazującą ujawniania lub wykorzystywania informacji wrażliwych w celach innych niż realizacja celów, dla których instytucja ujawniła informacje, np. marketingowych.,
oznacza to, że instytucje finansowe są zobowiązane do nadzorowania dostawców usług przez:
- podejmowanie rozsądnych kroków w celu wyboru i utrzymania dostawców usług, którzy są w stanie utrzymać odpowiednie zabezpieczenia informacji o klientach
- zgodnie z umową zobowiązując dostawców usług do wdrożenia i utrzymania zabezpieczeń
unikanie dostawców bez gwarancji SOC 2 i rozważenie zainwestowania w narzędzie cyberbezpieczeństwa, które może zautomatyzować zarządzanie ryzykiem dostawcy poprzez natychmiastowe monitorowanie wydajności zabezpieczeń dostawców i przypisywanie im oceny bezpieczeństwa., Pozwoli to zespołowi ds. ryzyka dostawcy najpierw zaradzić najbardziej zagrożonym dostawcom.
narzędzia te mogą dostarczyć szablony kwestionariuszy oceny ryzyka dostawców i pomóc Twojej organizacji w opracowaniu solidnych ram oceny ryzyka innych firm w oparciu o zgodność z GLBA i inne ramy, takie jak ISO 27001 i NIST Cybersecurity Framework.
Przeczytaj więcej o zarządzaniu ryzykiem dostawcy.
jakie są kary za nieprzestrzeganie zasad GLBA?,100 000 USD grzywny za każde naruszenie dla instytucji finansowych
jak UpGuard może pomóc w zapewnieniu zgodności z GLBA
firmy takie jak Intercontinental Exchange, Taylor Fry, New York Stock Exchange, IAG, First State Super, Akamai, Morningstar i NASA używają upguard do ochrony swoich danych, zapobiegania naruszeniom danych, monitorowania luk w zabezpieczeniach i unikania złośliwego oprogramowania.,jesteśmy ekspertami w zakresie naruszeń i wycieków danych, Nasze badania zostały opisane w New York Times, Wall Street Journal, Bloomberg, Washington Post, Forbes, Reuters i Techcrunch.
ryzyko dostawcy UpGuard może zminimalizować czas, jaki Twoja organizacja spędza na zarządzaniu relacjami z osobami trzecimi, automatyzując kwestionariusze dostawców i stale monitorując postawę bezpieczeństwa dostawców w czasie, porównując je z ich branżą.,
każdy dostawca jest oceniany pod kątem ponad 50 kryteriów, takich jak obecność SSL i DNSSEC, a także ryzyko przejęcia domeny, ataki typu man-in-the-middle i fałszowanie poczty e-mail w celu phishingu.
każdego dnia nasza platforma ocenia Twoich dostawców z oceną bezpieczeństwa cybernetycznego na 950. Powiadomimy cię, jeśli ich wynik spadnie.
Upguard BreachSight może pomóc w monitorowaniu DMARC, zwalczaniu literówek, zapobieganiu naruszeniom danych i wyciekom danych, unikaniu kar regulacyjnych i ochronie zaufania klientów poprzez oceny bezpieczeństwa cybernetycznego i ciągłe wykrywanie ekspozycji.,
Jeśli chcesz zobaczyć, jak rozwija się Twoja organizacja, uzyskaj bezpłatną ocenę bezpieczeństwa cybernetycznego.
Zamów demo już dziś.
Dodaj komentarz