Gramm-Leach-Bliley Act (GLBA, GLB Act eller Financial Services Modernization Act från 1999) är en amerikansk federal lag som kräver finansinstitut att förklara hur de delar och skyddar sina kunders icke-offentliga personuppgifter (NPI).
GLBA upphävde också en del av Glass-Steagall Act från 1993 och Bank Holding Company Act från 1956 (BHCA), vilket undanröjer hinder för Bank -, värdepappers-och försäkringsbolag att fungera som en kombination av en investeringsbank, affärsbank och försäkringsbolag.,
vad är syftet med Gramm-Leach-Bliley Act?
Det primära målet för GLBA är att säkerställa sekretessen av kundernas personligt identifierbar information (PII) och finansiell information genom att följa vissa integritet och säkerhet standarder:
- Sekretess standarder: Kunder måste vara anmälda av informationsrutiner och försedd med ett sätt att välja bort onödiga delar, se U. S. C Avdelning 15 (a) i Sekunder, 6801
- säkerhetsstandarder: Har en strategi för informationssäkerhet syftar till att säkerställa konfidentialitet, integritet och tillgänglighet av kundregister och information, samt att skydda kundens register från förväntade it-attacker, it-hot och andra angreppsvinklar, och för att skydda mot obehörig tillgång till eller användning av kund poster eller information som kan medföra skada eller olägenhet för kunden, t ex dataintrång och läcker uppgifter, se U. S. C Avdelning 15 (b) av Värdepapper, 6801
GLBA var ger Consumer Financial Protection Bureau (CFPB), Securities Exchange Commission (SEC), Commodity Futures Trading Commission (CFTC), Federal Trade Commission (FTC), federal bank organ, federala tillsynsmyndigheter och statliga försäkringar tillsyn organ, möjlighet att implementera ytterligare lagstiftning för att säkerställa lämplig sekretess bestämmelser och säkerhetsföreskrifter. Med detta sagt kan statlig lag kräva större överensstämmelse, men inte mindre än vad som annars krävs av GLBA.
vem regleras av GLBA?,
GLBA gäller finansinstitut, alla företag som erbjuder finansiella produkter och tjänster till individer som lån, finansiell rådgivning, investeringsrådgivning eller försäkring. Samt begränsade skyldigheter för vissa tredje parter som mottar icke-offentlig personlig information (NPI) från GLBA reglerade finansinstitut.,
exempel på finansinstitut är:
- icke-banklån långivare
- Fastighetsvärderare
- lån mäklare
- vissa finansiella eller investeringsrådgivare
- inkasserare
- tax return preparers
- banker
- tjänsteleverantörer för fastighetsavveckling
eftersom GLBA är inriktad på kunddata, finansinstitut som endast tillhandahåller tjänster för privatpersoner.tjänster till andra företag omfattas inte av GLBA. Inte heller är en person som använder en bankomat eller kasserar en check eftersom det inte finns någon pågående kundrelation.,
Vad är icke-offentlig personlig information (NPI)?
icke-offentlig personlig information (NPI) är all personligt identifierbar information (PII) och finansiell information som är:
- som tillhandahålls av kunden till finansinstitutet
- till följd av transaktioner med kunden eller någon tjänst som tillhandahålls kunden
- som annars erhållits av finansinstitutet
information som är offentligt tillgänglig, eller information som finansinstitutet har en rimlig grund att tro är, är inte icke-offentlig personlig information (NPI).)., Med detta sagt måste information som i allmänhet är offentlig men har gjorts privat (t.ex. med ett onoterat telefonnummer) behandlas som icke-offentlig.,mber, civilstånd, sparbelopp eller investeringar, betalningshistorik, lån eller inlåningsbalans, köp av kredit-eller betalkort, kontonummer eller konsumentrapporter
vilka är fördelarna med GLBA compliance?,
GLBA-överensstämmelse är ett krav för majoriteten av finansinstituten i USA. Det minskar också risken för påföljder och skador på rykte som orsakas av dataöverträdelser och dataläckage. Med den genomsnittliga kostnaden för en dataöverträdelse når $3.92 miljoner globalt, lönar det sig att förhindra dataöverträdelser.
GLBA-överensstämmelse kan också bidra till efterlevnaden av EU: s allmänna dataskyddsförordning (GDPR), som blev verkställbar den 25 maj 2018., GDPR povides bestämmelser om datainsamling, rätt till tillgång, rätt till radering, rätt till begränsning av behandling och rätt till dataportabilitet.,rotection fördelar som:
- Privat eller känslig information säkras mot obehörig åtkomst
- Kunder har blivit anmälda för privat att dela information mellan finansiella institutioner och tredje man, och att ha förmågan att välja bort om så önskas
- Användaren och medarbetarnas verksamhet spåras inklusive alla försök att få tillgång till känslig information eller skyddade poster
Dessa fördelar förbättra rykte av din organisation och öka kundernas förtroende, vilket leder till ökad kundlojalitet, lägre churne, högre livslängd värde och mindre föreskrivande böter.,
bankväsendets multinationella karaktär och eventuellt genomförande av motsvarande reglering i vissa amerikanska stater innebär att finansinstitut måste ta Integritets-och dataskyddslagar på allvar.
vilka är de viktigaste komponenterna i Gramm-Leach-Bliley Act?,
det finns tre huvudkomponenter i GLBA, som är utformade för att fungera tillsammans för att styra insamling, utlämnande och skydd av kunders icke-offentliga personuppgifter (NPI), nämligen:
- den finansiella Integritetsregeln: begränsar delning av icke-offentlig personlig information (NPI) om en individ och kräver att finansinstitut ger varje konsument ett integritetsmeddelande i början av kundrelationen och årligen därefter.,
- Skyddsregeln: kräver att finansinstitut utvecklar en informationssäkerhetsplan som beskriver hur företaget är berett för och planerar att fortsätta att skydda kunders och tidigare kunders icke-offentliga personuppgifter (NPI).
- Pretexting Skydd: Pretexting eller social ingenjörskonst uppstår när någon försöker få tillgång till icke-offentlig personlig information utan befogenhet att göra så. Detta kan innebära att man begär privat information genom att imitera kontoinnehavaren via telefon, per post eller via nätfiske eller spjutfiske., GLBA uppmuntrar organisationer att genomföra skyddsåtgärder mot pretexting.
Vad är GLBA Finansiella Sekretess Artikel?
GLBA Financial Privacy Rule begränsar delning av icke-offentlig personlig information (NPI) och kräver att kunder får ett sekretessmeddelande i början av kundrelationen och årligen därefter.,
meddelandet beskriver vilken information som samlas in, var informationen delas, hur informationen används och hur den skyddas, samt lyfter fram kundens rätt att välja bort informationsutbyte med icke-närstående tredje parter i enlighet med bestämmelserna i Fair Credit Reporting Act.
om finansinstitutets integritetspolicy ändras meddelas kunderna för godkännande av ändringar. När sekretessmeddelandet återupprättas har konsumenten rätt att välja bort det igen.,
När kunder samtycker till att få sin information delad med unaffiliated parter, måste de unaffiliated parterna hantera informationen i enlighet med det ursprungliga sekretessavtalet.
kort sagt tillhandahåller den finansiella Integritetsregeln ett integritetsavtal mellan finansinstitutet och kunden om skydd av deras icke-offentliga personuppgifter (NPI).,
en viktig sak att förstå att delning med dotterbolag (alla företag som kontrollerar, kontrolleras av eller under gemensam kontroll) inte är föremål för rätten att välja bort, men kunderna måste informeras av sekretessmeddelandet.
Unaffiliated parter som är undantagna från rätten att välja bort inkluderar konsumentrapporteringsbyråer, tredjepartsleverantörer vars enda syfte är att utföra marknadsföring för finansinstitutet och deltagare i Private Label kreditkort program där deltagarna identifieras till kunden när de går in i programmet.,
Vad är GLBA: s Skyddsregel?
säkerhetsregeln kräver att finansinstituten utvecklar, genomför och upprätthåller en omfattande informationssäkerhetsplan som beskriver administrativa, tekniska och fysiska skyddsåtgärder som är lämpliga för organisationens storlek och komplexitet och dess finansiella verksamhet.,inst förutsebara risker
Sammanfattningsvis tvingar Skyddsregeln finansinstitut att titta närmare på sin informationssäkerhet, datasäkerhet, nätverkssäkerhet och cybersäkerhet för att utveckla en förståelse för cybersäkerhetsrisken för sina nuvarande kontroller, system och förfaranden.,
för att förhindra läckage av icke-offentlig personlig information (NPI), investera i en cybersäkerhetsprodukt för att automatiskt söka efter läcka referenser och dataexponeringar.
Vad är GLBA Pretexting Skydd?
Pretexting, eller social ingenjörskonst, hänvisar till när en individ försöker få tillgång till kundinformation under falska förespeglingar.
detta kan vara resultatet av att imitera en kund via telefon, e-post eller via e-post spoofing phishing eller spear phishing-kampanjer.,
GLBA Pretexting Protection uppmuntrar organisationer att genomföra skyddsåtgärder mot social ingenjörskonst.
till exempel kan ett finansinstitut använda social ingenjörsutbildning som en del av sitt övergripande informationssäkerhetsprogram för att minska risken för att anställda kommer att skada konsumentens integritet till följd av en social ingenjörsattack.
andra integritetsskyddskontroller kan omfatta OPSEC och avfallshantering.
Läs mer om vanliga social ingenjörsförsvarsmekanismer.
vad är leverantörens riskhanteringskrav för GLBA?,
enligt GLBA måste finansinstitut som lämnar ut icke-offentlig personlig information (NPI) till en tredjepartsleverantör eller tjänsteleverantör ingå ett avtal som förbjuder utlämnande eller användning av annan känslig information än för att utföra de ändamål för vilka Institutet lämnade ut informationen, t.ex. marknadsföring.,
detta innebär att finansinstitut är skyldiga att övervaka tjänsteleverantörer genom att:
- vidta rimliga åtgärder för att välja och behålla tjänsteleverantörer som kan upprätthålla lämpliga garantier för kundinformation
- avtalsenligt kräva tjänsteleverantörer att genomföra och upprätthålla garantier
Undvik leverantörer utan SOC 2-försäkran och överväga att investera i ett cybersäkerhetsverktyg som kan automatisera leverantörens riskhantering genom att övervaka dina leverantörers säkerhetsprestanda omedelbart och tilldela dem en säkerhetsbetyg., Detta gör det möjligt för ditt leverantörsriskteam att åtgärda de mest utsatta leverantörerna först.
dessa verktyg kan tillhandahålla mallar för riskbedömning av leverantörer och hjälpa din organisation att utveckla ett robust ramverk för riskbedömning från tredje part baserat på GLBA-överensstämmelse och andra ramverk som ISO 27001 och NIST Cybersecurity Framework.
Läs mer om leverantörens riskhantering.
vilka är påföljderna för GLBA-bristande efterlevnad?,
påföljder för bristande efterlevnad inkluderar:
- $100,000 böter för varje överträdelse för finansinstitut
- $10,000 böter för varje överträdelse för individer
- upp till 5 års fängelse för individer
hur UpGuard kan hjälpa till med GLBA-överensstämmelse
företag som Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar och NASA använder UpGuard till skydda sina data, förhindra dataöverträdelser, övervaka för sårbarheter och undvika skadlig kod.,
Vi är experter på databrott och dataläckage, vår forskning har presenterats i New York Times, Wall Street Journal, Bloomberg, Washington Post, Forbes, Reuters och Techcrunch.
Upguard Leverantörsrisk kan minimera den tid din organisation spenderar hantera relationer från tredje part genom att automatisera leverantörsformulär och kontinuerligt övervaka dina leverantörers säkerhetsställning över tiden medan benchmarking dem mot deras bransch.,
varje leverantör är rankad mot 50 + kriterier såsom närvaro av SSL och DNSSEC, samt risk för domän kapning, man-in-the-middle attacker och e-post spoofing för phishing.
varje dag, vår plattform Betyg dina leverantörer med en Cyber säkerhet betyg av 950. Vi varnar dig om deras poäng sjunker.
UpGuard BreachSight kan hjälpa till att övervaka för DMARC, bekämpa stavfel, förhindra dataöverträdelser och dataläckage, undvika lagstadgade böter och skydda din kunds förtroende genom cybersäkerhetsbetyg och kontinuerlig exponeringsdetektering.,
om du vill se hur din organisation staplar upp, få ditt gratis Cybersäkerhetsbetyg.
boka en demo idag.
Lämna ett svar