La Loi Gramm-Leach-Bliley (GLBA, Glb Act ou Financial Services Modernization Act de 1999) est une loi fédérale des États-Unis obligeant les institutions financières à expliquer comment elles partagent et protègent les informations personnelles non publiques (NPI) de leurs clients.
la GLBA a également abrogé une partie du Glass-Steagall Act de 1993 et du Bank Holding Company Act de 1956 (BHCA), supprimant les obstacles pour les banques, les valeurs mobilières et les compagnies d’assurance à agir en tant que combinaison d’une banque d’investissement, d’une banque commerciale et d’une compagnie d’assurance.,
Quel est le but de la loi Gramm-Leach-Bliley?
la principale préoccupation de GLBA est d’assurer la confidentialité des informations personnelles identifiables (PII) et des informations financières des clients en suivant certaines normes de confidentialité et de sécurité:
- normes de confidentialité: les clients doivent être informés des pratiques de partage D’informations et disposer d’un moyen de refuser tout partage inutile, voir, 6801
- normes de sécurité: avoir une politique de sécurité de L’information conçue pour assurer la confidentialité, l’intégrité et la disponibilité des dossiers et des informations des clients; protéger les dossiers des clients contre les cyberattaques anticipées, les cybermenaces et autres vecteurs d’attaque; et protéger contre l’accès non autorisé ou l’utilisation des dossiers ou des informations des clients qui pourrait, 6801
la GLBA a été donne au bureau de la protection financière des consommateurs (CFPB), la Securities Exchange Commission (SEC), la Commodity Futures Trading Commission (CFTC), la Federal Trade Commission (FTC), les agences bancaires fédérales, les agences de réglementation fédérales et les agences de surveillance des assurances d’état, la capacité de mettre en œuvre d’autres réglementations Cela dit, le droit de l’état peut exiger une plus grande conformité, mais pas moins que ce qui est autrement requis par la GLBA.
qui est réglementé par GLBA?,
la LPGA s’applique aux institutions financières, à toute entreprise offrant des produits et services financiers aux particuliers, tels que des prêts, des conseils financiers, des conseils en investissement ou des assurances. Ainsi que des obligations limitées pour certains tiers qui reçoivent des informations personnelles non publiques (NPI) d’institutions financières réglementées GLBA.,
exemples d’institutions financières:
- prêteurs hypothécaires Non bancaires
- évaluateurs immobiliers
- courtiers en prêts
- certains conseillers financiers ou en investissement
- collecteurs de dettes
- Préparateurs de déclarations fiscales
- banques
- fournisseurs de services de règlement immobilier
comme GLBA se concentre sur les données des clients, les institutions financières à d’autres entreprises ne sont pas couverts par GLBA. Il n’y a pas non plus une personne qui utilise un guichet automatique ou encaisse un chèque parce qu’il n’y a pas de relation client continue.,
qu’est-ce que les renseignements personnels non publics?
Les renseignements personnels non publics (IPI) sont tous les renseignements personnels identifiables (IPI) et les renseignements financiers qui sont:
- fournis par le client à l’institution financière
- résultant de toute transaction avec le client ou de tout service fourni au client
- autrement obtenus par l’institution financière
Les renseignements qui sont accessibles au public, ou les renseignements que l’institution financière a une base raisonnable de croire (IPN)., Cela dit, les informations qui sont généralement publiques mais qui ont été rendues privées (p. ex. avoir un numéro de téléphone non inscrit) doivent être traitées comme non publiques.,le fait que la personne possède un compte auprès d’une institution financière particulière
Quels sont les avantages conformité GLBA?,
la conformité GLBA est une exigence pour la majorité des institutions financières aux États-Unis. Il réduit également le risque de sanctions et de dommages à la réputation causés par les violations de données et les fuites de données. Avec le coût moyen d’une violation de données atteignant 3,92 millions de dollars dans le monde, il est rentable de prévenir les violations de données.
la conformité GLBA peut également aider à se conformer au règlement général sur la Protection des données (RGPD) de l’Union européenne, qui est devenu exécutoire le 25 mai 2018., GDPR povides dispositions sur la collecte de données, les droits d’accès, les droits à l’effacement, le droit à la limitation du traitement et le droit à la portabilité des données.,avantages de rotection tels que:
- protection des informations privées ou sensibles contre tout accès non autorisé
- Les clients sont informés du partage d’informations privées entre des institutions financières et des tiers et ont la possibilité de se retirer si désiré
- suivi des activités des utilisateurs et des employés, y compris toute tentative d’accès à des informations sensibles ou à des documents protégés
ces avantages améliorent la réputation de votre organisation et augmentent la confiance des clients, ce qui entraîne une plus grande fidélité des clients, une plus faible churne, une plus grande valeur à vie et moins d’amendes réglementaires.,
la nature multinationale du secteur bancaire et la mise en œuvre éventuelle de la réglementation correspondante dans certains États américains signifient que les institutions financières doivent prendre au sérieux les lois sur la protection de la vie privée et des données.
quelles sont les principales composantes de la loi Gramm-Leach-Bliley?,
la Loi sur la protection des renseignements personnels non publics (LPRP) comporte trois composantes principales, conçues pour régir ensemble la collecte, la divulgation et la protection des renseignements personnels non publics (LPRP) des clients, à savoir:
- La règle sur la protection des renseignements personnels financiers: limite le partage des renseignements personnels non publics (LPRP) sur une personne et exige que les institutions financières fournissent à chaque consommateur un avis de confidentialité au début de la relation client et chaque année par la suite.,
- La règle sur les garanties: exige que les institutions financières élaborent un plan de sécurité de l’information qui décrit la façon dont la société est préparée et prévoit de continuer à protéger les renseignements personnels non publics (IPN) des clients et des anciens clients.
- protection contre les prétextes: le prétexte ou l’ingénierie sociale se produit lorsqu’une personne tente d’accéder à des renseignements personnels non publics sans pouvoir le faire. Cela peut impliquer de demander des informations privées en se faisant passer pour le titulaire du compte par téléphone, par courrier ou par phishing ou spear phishing., GLBA encourage les organisations à mettre en place des garanties contre les prétextes.
qu’est-ce que la règle de confidentialité financière GLBA?
La règle de confidentialité financière de GLBA restreint le partage de renseignements personnels non publics (NPI) et exige que les clients reçoivent un avis de confidentialité au début de la relation client et chaque année par la suite.,
l’avis décrit quelles informations sont collectées, où les informations sont partagées, comment les informations sont utilisées et comment elles sont protégées, ainsi que le droit du client de refuser de partager des informations avec des tiers non affiliés conformément aux dispositions de la Fair Credit Reporting Act.
Si la Politique de confidentialité de l’institution financière change, les clients seront avisés de l’acceptation des modifications. Lorsque l’avis de confidentialité est rétabli, le consommateur a le droit de se désinscrire à nouveau.,
lorsque les clients acceptent que leurs informations soient partagées avec des parties non affiliées, les parties non affiliées doivent traiter les informations conformément à l’accord d’avis de confidentialité original.
en bref, la règle de confidentialité financière prévoit une entente de confidentialité entre l’institution financière et le client relative à la protection de leurs renseignements personnels non publics.,
Il est important de comprendre que le partage avec des sociétés affiliées (toute société contrôlant, contrôlée par ou sous contrôle commun) n’est pas soumis au droit de retrait, mais les clients doivent être informés par l’avis de confidentialité.
Les parties non affiliées qui sont exclues du droit de retrait comprennent les agences d’information sur le consommateur, les fournisseurs tiers dont le seul but est d’effectuer du marketing pour l’institution financière et les participants à des programmes de cartes de crédit de marque privée où les participants sont identifiés au client lorsqu’ils,
qu’est-ce que la règle des garanties GLBA?
La règle sur les garanties exige que les institutions financières élaborent, mettent en œuvre et tiennent à jour un plan complet de sécurité de l’information qui décrit les mesures de protection administratives, techniques et physiques appropriées à la taille et à la complexité de l’organisation et de ses activités financières.,risques prévisibles
En résumé, la règle sur les garanties oblige les institutions financières à examiner de plus près leur sécurité de l’information, la sécurité des données, la sécurité des réseaux et la cybersécurité afin de mieux comprendre le risque de cybersécurité de leurs contrôles, systèmes et procédures actuels.,
pour éviter les fuites de données d’informations personnelles non publiques (NPI), investissez dans un produit de cybersécurité pour rechercher automatiquement les informations d’identification et les expositions de données divulguées.
qu’est-ce que la GLBA Pretexting Protection?
le prétexte, ou ingénierie sociale, fait référence au fait qu’une personne tente d’accéder aux informations des clients sous de faux prétextes.
cela peut être le résultat de l’usurpation d’identité d’un client par téléphone, par e-mail ou par des campagnes d’hameçonnage ou d’hameçonnage.,
GLBA Pretexting Protection encourage les organisations à mettre en œuvre des garanties contre l’ingénierie sociale.
par exemple, une institution financière peut utiliser une formation de sensibilisation à l’ingénierie sociale dans le cadre de son programme global de sécurité de l’information afin de réduire le risque que les employés nuisent à la vie privée des consommateurs à la suite d’une attaque d’ingénierie sociale.
D’autres contrôles de protection de la vie privée peuvent inclure OPSEC et la gestion des déchets.
En savoir plus sur les mécanismes communs de défense de l’ingénierie sociale.
quelles sont les exigences de GLBA en matière de gestion des risques des fournisseurs?,
en vertu de la LPGA, les institutions financières qui divulguent des renseignements personnels non publics (IPN) à un fournisseur tiers ou à un fournisseur de services doivent conclure un accord contractuel interdisant la divulgation ou l’utilisation des renseignements sensibles autrement qu’aux fins pour lesquelles l’institution a divulgué les renseignements, p. ex. marketing.,
cela signifie que les institutions financières sont tenues de surveiller les fournisseurs de services en:
- prenant des mesures raisonnables pour sélectionner et retenir les fournisseurs de services qui sont capables de maintenir des garanties appropriées pour les informations des clients
- obligeant contractuellement les fournisseurs de services à mettre en œuvre et à maintenir des garanties
évitez les fournisseurs sans assurance SOC 2 et envisagez d’investir dans un outil de cybersécurité qui peut automatiser la gestion des risques des fournisseurs en surveillant instantanément les performances de sécurité de vos fournisseurs, en leur attribuant une cote de sécurité., Cela permettra à votre équipe de gestion des risques fournisseurs de remédier d’abord aux fournisseurs les plus à risque.
ces outils peuvent fournir des modèles de questionnaire d’évaluation des risques des fournisseurs et aider votre organisation à développer un cadre d’évaluation des risques tiers robuste basé sur la conformité GLBA et d’autres cadres tels que ISO 27001 et le cadre de cybersécurité du NIST.
En savoir plus sur la gestion des risques des fournisseurs.
quelles sont les sanctions applicables en cas de non-conformité à la GLBA?,
Les sanctions pour Non-conformité comprennent:
- 100 000 fine d’amende pour chaque violation pour les institutions financières
- 10 000 fine d’amende pour chaque violation pour les individus
- Jusqu’à 5 ans de prison pour les individus
comment UpGuard peut aider à la conformité GLBA
Akamai, Morningstar et la NASA utilisent upguard pour protéger leurs données, prévenir les violations de données, surveiller les vulnérabilités et éviter les logiciels malveillants.,
Nous sommes des experts en violations de données et fuites de données, nos recherches ont été présentées dans le New York Times, Wall Street Journal, Bloomberg, Washington Post, Forbes, Reuters et Techcrunch.
UpGuard Vendor Risk peut minimiser le temps que votre organisation consacre à la gestion des relations avec des tiers en automatisant les questionnaires des fournisseurs et en surveillant en permanence la posture de sécurité de vos fournisseurs au fil du temps tout en les comparant à leur secteur d’activité.,
chaque fournisseur est évalué en fonction de plus de 50 critères tels que la présence de SSL et DNSSEC, ainsi que le risque de détournement de domaine, d’attaques man-in-the-middle et d’usurpation d’adresse e-mail pour le phishing.
chaque jour, notre plateforme attribue à vos fournisseurs une cote de cybersécurité de 950. Nous vous préviendrons si leur score baisse.
UpGuard BreachSight peut vous aider à surveiller le DMARC, à lutter contre le typosquattage, à prévenir les violations de données et les fuites de données, à éviter les amendes réglementaires et à protéger la confiance de vos clients grâce à des évaluations de cybersécurité et à la détection continue de l’exposition.,
Si vous souhaitez voir comment votre organisation se développe, obtenez votre cote de cybersécurité gratuite.
réservez une démo aujourd’hui.
Laisser un commentaire