Λίστα ελέγχου αναφορών συμμόρφωσης GLBA

οΝόμος Gramm-Leach Bliley(GLBA) ή τοΝόμος για τον εκσυγχρονισμό των χρηματοπιστωτικών υπηρεσιώνόπως είναι επίσης γνωστό, έχει παίξει τεράστιο ρόλο στην αλλαγή του τρόπου με τον οποίο τα χρηματοπιστωτικά ιδρύματα διαχειρίζονται ευαίσθητες πληροφορίες.

Τι είναι το GLBA;

Ο GLBA ήταν ένας νόμος των ΗΠΑ που ψηφίστηκε το 1999 και ρύθμιζε πώς τα χρηματοπιστωτικά ιδρύματα πρέπει να προστατεύουν τις ευαίσθητες πληροφορίες των καταναλωτών. Εκείνη την εποχή, η GLBA δημιουργήθηκε για να καταργήσει τον νόμο Glass-Steagall του 1933, ο οποίος απαγόρευε στις εμπορικές τράπεζες να προσφέρουν πρόσθετες χρηματοοικονομικές υπηρεσίες όπως η ασφάλιση.

Μόλις ψηφίστηκε η πράξη, προσωπικά δεδομένα όπως π.χονόματα,διευθύνσεις, καιπιστωτικό ιστορικόθα έπρεπε να παραμείνει ιδιωτικό. Οι οργανισμοί καθίστανται υπεύθυνοι για την εφαρμογή μέτρων για τη διατήρηση του απορρήτου των δεδομένων πελατών.

Σύμφωνα με το νόμο, τα χρηματοπιστωτικά ιδρύματα είχαν την υποχρέωση να ειδοποιούν τους πελάτες πώς μοιράζονται τα μη δημόσια προσωπικά τους στοιχεία (NPI), ποια δεδομένα συλλέγουν και με ποιους μοιράζονται αυτά τα δεδομένα. Επιπλέον, οι πελάτες θα έχουν επίσης το δικαίωμα να επιλέξουν εάν θέλουν να κοινοποιηθεί το NPI τους.

Πέρα από αυτές τις εξωτερικές υποχρεώσεις, τα χρηματοπιστωτικά ιδρύματα πρέπει επίσης να εφαρμόζουν εσωτερικές διασφαλίσεις για την προστασία των δεδομένων των καταναλωτών από το να πέσουν σε λάθος χέρια. Οι διασφαλίσεις περιλαμβάνουν «μέτρα πρόληψης και απόκρισης για επιθέσεις, εισβολές και άλλες αστοχίες συστημάτων».

Γενικά, αυτά τα μέτρα αποτελούν βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο, όπως τείχη προστασίας και κρυπτογράφηση, παράλληλα με συγκεκριμένα εργαλεία όπως συστήματα ανίχνευσης εισβολών στο δίκτυο. Απαιτείται επίσης η δημιουργία ενός προσαρμοσμένου σχεδίου ασφαλείας για τη λεπτομέρεια των βημάτων που θα κάνει ένας οργανισμός για να εξασφαλίσει τις πληροφορίες των πελατών του. Για παράδειγμα, απόρριψη χάρτινων εγγράφων μέσω τεμαχισμού για την αποφυγή απάτης.

Η καταπολέμηση της απάτης είναι ένας από τους βασικούς στόχους του GLBA. Η GLBA δηλώνει ξεκάθαρα ότι τα ιδρύματα πρέπει να διαθέτουν ισχυρή προστασία για την πρόληψηπροσχηματισμός, μια μορφή απάτης όπου ένα μη εξουσιοδοτημένο άτομο χρησιμοποιεί πλαστά ή κλεμμένα έγγραφα για να αποκτήσει πρόσβαση σε προσωπικές πληροφορίες (θα εξετάσουμε αυτές τις προστασίες με περισσότερες λεπτομέρειες).

Γιατί είναι σημαντικό το GLBA;

Το GLBA είναι σημαντικό όχι μόνο επειδή είναιορίσει πρότυπα χειρισμού δεδομένωναλλά επειδή αυτόαυξημένα δικαιώματα των καταναλωτών. Ο νόμος θεσπίζει νόμο ότι οι πελάτες μπορούν να έχουν πρόσβαση στο NPI τους όποτε θέλουν αυξημένη διαφάνεια μεταξύ των καθημερινών καταναλωτών και των χρηματοπιστωτικών ιδρυμάτων.

Οι πελάτες θα μπορούσαν να μάθουν πώς ακριβώς χρησιμοποιούνται τα δεδομένα τους και με ποιους κοινοποιούνται αυτά τα δεδομένα. Η αύξηση της διαφάνειας έδωσε στους καταναλωτές τη δυνατότητα να επιλέξουν τον τρόπο χειρισμού των δεδομένων τους και να εξαιρεθούν από την ανταλλαγή πληροφοριών με τρίτους.

Ο νόμος ήταν επίσης σημαντικός επειδή αντιμετώπιζε ζητήματα όπως η απάτη και το προσχηματισμό κατά μέτωπο. Η GLBA κατέστησε παράνομη την προσπάθεια κάποιου να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα μιμούμενος άλλο άτομο ή με εξαπάτηση. Ομοίως, τα φώτα της δημοσιότητας για τα προσχήματα βοήθησαν τα χρηματοπιστωτικά ιδρύματα να λάβουν μεγαλύτερα μέτρα για την προστασία των προσωπικών δεδομένων.

Ενώ η απάτη ήταν πάντα μια πρόκληση στον χρηματοοικονομικό κλάδο, η GLBA τόνισε τις προκλήσεις και πρότεινε μια εκσυγχρονισμένη προσέγγιση για την αντιμετώπιση αυτών των απειλών. Σήμερα αυτό σημαίνει ότι λιγότεροι καταναλωτές πέφτουν θύματα απατεώνων.

Σε ποιους απευθύνεται το GLBA;

Ο GLBA ισχύει για χρηματοπιστωτικά ιδρύματα και οποιεσδήποτε εταιρείες προσφέρουν χρηματοοικονομικά προϊόντα ή υπηρεσίες στους καταναλωτές. Με άλλα λόγια, μια εταιρεία που προσφέρει ένα χρηματοοικονομικό προϊόν όπως δάνειο ή ασφάλιση υπόκειται στις απαιτήσεις και τις ανάγκες προστασίας των δεδομένων πελατών από μη εξουσιοδοτημένη πρόσβαση.

Στην πράξη, αυτό σημαίνεικάθε εταιρεία που προσφέρει οικονομικές συμβουλές ή φορολογικές συμβουλές είναιυπόκεινται σε περιορισμούς GLBA. Ακόμη και οργανισμοί που δεν θεωρούνται χρηματοπιστωτικοί οργανισμοί μπορούν να εμπίπτουν σε αυτήν την ομπρέλα. Οι κανόνες είναι τόσο επεκτατικοί που ακόμη και μια επιχείρηση λιανικής που εκδίδει πιστωτική κάρτα θα πρέπει να συμμορφωθεί!

Ποιες είναι οι κυρώσεις για μη συμμόρφωση;

Οι κυρώσεις για μη συμμόρφωση με τον GLBA είναι ασυγχώρητες. Οι ποινές κυμαίνονται από πρόστιμα έως πέντε χρόνια φυλάκιση. Ένα χρηματοπιστωτικό ίδρυμα μπορεί να είναιπρόστιμο 100.000 $ για κάθε παράβαση. Εάν αυτό δεν ήταν αρκετό, οι αξιωματικοί και οι διευθυντές μπορούν επίσης να τιμωρηθούν με πρόστιμο έως και 10.000 $ για κάθε παράβαση. Η βαρύτητα των κυρώσεων για μη συμμόρφωση μπορεί να έχει καταστροφικές οικονομικές και νομικές συνέπειες.

Τα μέτρα αυτά εφαρμόζονται αυστηρά. Μόλις πρόσφατα, Venmo και η PayPal Inc. φέρεται να παραβίασαν τους νόμους περί προστασίας πελατών και έπρεπε να καταλήξουν σε συμφωνία με την Ομοσπονδιακή Επιτροπή Εμπορίου.

Πέρα από τις νομικές κυρώσεις, η μη συμμόρφωση μπορεί να βλάψει σημαντικά τη φήμη ενός χρηματοπιστωτικού ιδρύματος. Οι εταιρείες που μοιράζονται δεδομένα χωρίς άδεια και δεν παίρνουν στα σοβαρά την προστασία δεδομένων θα χάσουν αναπόφευκτα τους υπάρχοντες αλλά και δυνητικούς πελάτες.

Λίστα ελέγχου συμμόρφωσης GLBA

Το GLBA αναλύεται σε τρεις ενότητες. Καθένα από αυτά περιλαμβάνει διαφορετικές απαιτήσεις που πρέπει να τηρείτε. Αυτές οι τρεις ενότητες είναι οι εξής:

• Ο Κανόνας Προστασίας Προσωπικών Δεδομένων
• Ο Κανόνας Διασφαλίσεων
• Οι διατάξεις περί προσχηματισμού

Ο Κανόνας Προστασίας Προσωπικών Δεδομένων

οΚανόνας απορρήτουδηλώνει ότι εσείςπρέπει να ενημερώνει τους πελάτες σχετικά με τις πολιτικές απορρήτου σαςκαιπροστατεύουν το απόρρητο των δεδομένων τους. Μια ειδοποίηση απορρήτου πρέπει να κοινοποιηθεί στον πελάτη τη στιγμή που δημιουργείται η σχέση ή αλλάζει η πολιτική.

Η σημείωση απορρήτου πρέπει να εξηγεί στον πελάτη ποιες πληροφορίες συλλέγονται, πώς κοινοποιούνται αυτές οι πληροφορίες, με ποιους κοινοποιούνται και πώς προστατεύετε αυτές τις πληροφορίες. Η ειδοποίηση θα πρέπει επίσης να τους προσφέρει τη δυνατότητα να επιλέξουν ή να εξαιρεθούν από την κοινή χρήση των προσωπικών τους δεδομένων με τρίτα μέρη.

Επιπλέον, κάθε φορά που σκοπεύετε να αποκαλύψετε το NPI ενός πελάτη, πρέπει επίσης να του εκδώσετε μια ειδοποίηση απορρήτου. Είναι απαραίτητο ναεκδίδει ετήσιες ειδοποιήσεις απορρήτουγια να βεβαιωθείτε ότι οι πελάτες ενημερώνονται για τον τρόπο με τον οποίο χειρίζεστε τα δεδομένα τους. Η προσπάθεια διατήρησης της διαφάνειας μεταξύ του πελάτη και του ιδρύματος είναι πρωταρχικής σημασίας εδώ.

Ο Κανόνας Διασφαλίσεων

οΟ κανόνας διασφαλίσεων περιγράφει τα μέτρα που πρέπει να λάβετε για να διατηρήσετε ασφαλή το NPI. Ένα από τα πιο σημαντικά στοιχεία αυτού του κανόνα είναι ότι τα χρηματοπιστωτικά ιδρύματα πρέπει να αναπτύξουν ένα λεπτομερές γραπτό σχέδιο ασφάλειας που θα περιγράφει πώς θα προστατεύονται τα δεδομένα των πελατών. Ένα γενικό σχέδιο ασφάλειας δεν θα το κάνει, επομένως τα ιδρύματα πρέπει να εκτελέσουν μια αξιολόγηση κινδύνου για να βρουν συγκεκριμένα τρωτά σημεία.

Το ίδιο το σχέδιο ασφαλείας πρέπει να περιέχει μια σειρά από στοιχεία:

• Ορίστε έναν ή περισσότερους υπαλλήλους για να συντονίσουν ένα πρόγραμμα ασφάλειας πληροφοριών.
• Προσδιορίστε και αξιολογήστε τους κινδύνους για τις πληροφορίες των πελατών σε κάθε σχετικό τομέα της λειτουργίας της εταιρείας και αξιολογήστε την αποτελεσματικότητα των υφιστάμενων διασφαλίσεων για τον έλεγχο αυτών των κινδύνων.
• Σχεδιάστε και εφαρμόστε ένα πρόγραμμα διασφαλίσεων και το παρακολουθείτε/δοκιμάζετε τακτικά.
• Επιλέξτε παρόχους υπηρεσιών που μπορούν να διατηρήσουν τις κατάλληλες διασφαλίσεις, βεβαιωθείτε ότι το συμβόλαιό σας απαιτεί από αυτούς να διατηρούν διασφαλίσεις και επιβλέπουν τον χειρισμό των πληροφοριών πελατών από μέρους τους.
• Αξιολογήστε και προσαρμόστε το πρόγραμμα υπό το φως των σχετικών περιστάσεων, συμπεριλαμβανομένων των αλλαγών στις δραστηριότητες ή τις λειτουργίες της εταιρείας ή των αποτελεσμάτων των δοκιμών και της παρακολούθησης ασφάλειας.

Τα μέτρα αυτά προορίζονται να εφαρμόζονται κατά περίπτωση. Το πιο σημαντικό πράγμα είναι να εφαρμόσετε διασφαλίσεις που είναι σύμφωνες με τις δικές σας συνθήκες. Είναι σημαντικό να εφαρμόζονται γενικές βέλτιστες πρακτικές όπως η κρυπτογράφηση δεδομένων για την προστασία των δεδομένων πελατών κατά τη μεταφορά.

Είναι σημαντικό να σημειωθεί ότι τα χρηματοπιστωτικά ιδρύματα είναι επίσης υπεύθυνα για τη διασφάλιση ότι οποιοσδήποτε τρίτος πάροχος υπηρεσιών εφαρμόζει τις απαραίτητες διαδικασίες για την προστασία των δεδομένων πελατών. Εάν εργάζεστε με μια εταιρεία που δεν διαθέτει επαρκή προστασία, τότε μπορεί να είστε ευάλωτοι σε μη συμμόρφωση.

Τέλος, πρέπει να αναφέρετε παραβιάσεις δεδομένων στον πελάτη το συντομότερο δυνατό. Υπάρχουν πολλά προϊόντα λογισμικού με λειτουργίες απόκρισης συμβάντων που μπορούν να σας βοηθήσουν να εντοπίσετε παραβιάσεις δεδομένων και να απαντήσετε.

Οι διατάξεις περί προσχηματισμού

οΔιατάξεις προσχηματισμούπεριοχήκατάλογος των βημάτων που πρέπει να λάβουν οι οργανισμοί για να σταματήσουν τα προσχήματα ή την κοινωνική μηχανική. Το προσχηματισμό είναι ουσιαστικά μια μορφή απάτης όπου ένα άτομο υποδύεται ένα άλλο άτομο για να αποκτήσει πρόσβαση σε προσωπικές πληροφορίες.

Για την πρόληψη της απάτης, τα χρηματοπιστωτικά ιδρύματα αναμένεται να εφαρμόζουν διασφαλίσεις όπως η εκπαίδευση των εργαζομένων για την αποτροπή μη εξουσιοδοτημένης πρόσβασης σε NPI. Η εκπαίδευση των εργαζομένων είναι ένα από τα κορυφαία όπλα που μπορείτε να χρησιμοποιήσετε κατά των προσχημάτων. Η εκπαίδευση ενός υπαλλήλου σχετικά με τα σημάδια της προσχηματισμού του δίνει τη δυνατότητα να κηρύξει συναγερμό εάν υπάρχει ύποπτη δραστηριότητα.

Υπάρχει κάποια διασταύρωση μεταξύ του κανόνα διασφαλίσεων και των διατάξεων περί προσχηματισμού στο ότι οι οργανισμοί πρέπει να δημιουργήσουν ένα σχέδιο ασφάλειας στον κυβερνοχώρο και να παρακολουθούν τη δραστηριότητα του λογαριασμού για να βοηθήσουν στην ανίχνευση απάτης. Το κλειδί είναι να γνωρίζετε τα προσχήματα και να εφαρμόζετε μέτρα για την ελαχιστοποίηση του κινδύνου πλαστοπροσωπίας και απάτης.

Αναφορές συμμόρφωσης GLBA

Οι αναφορές συμμόρφωσης διαδραματίζουν κρίσιμο ρόλο στην απόδειξη της προστασίας δεδομένων. Για να προστατεύσετε τα δεδομένα σας, πρέπει να έχετε ένα σύστημα που προσφέρει πίνακες εργαλείων και αναφορές, ώστε να μπορείτε να εντοπίζετε απειλές για τα δεδομένα πελατών και να ενεργείτε ανάλογα. Εάν δεν έχετε την απαραίτητη ορατότητα, δεν θα μπορείτε να προσδιορίσετε απειλές και να προστατέψετε το NPI προτού τεθεί σε κίνδυνο.

Πολλές πλατφόρμες λογισμικού έχουν χαρακτηριστικά αναφοράς που έχουν σχεδιαστεί με γνώμονα τη συμμόρφωση με το GLBA. Σε αυτήν την ενότητα θα εξετάσουμε ορισμένες λύσεις που μπορείτε να χρησιμοποιήσετε για να δημιουργήσετε αναφορές συμμόρφωσης:

• SolarWinds Security Event Manager (ΔΩΡΕΑΝ ΔΟΚΙΜΗ)Αυτό το πακέτο εσωτερικής εγκατάστασης παρέχει διαχείριση αρχείων καταγραφής που περιλαμβάνει μια ενότητα αναφοράς που είναι προσαρμοσμένη στο GLBA. Εκτελείται σε Windows Server.
• ManageEngine ADAudit PlusΈνα πακέτο για την παρακολούθηση της δραστηριότητας των χρηστών που έχει ενσωματωμένη αναφορά GLBA και θα σας βοηθήσει επίσης να προστατεύσετε ευαίσθητα δεδομένα. Διαθέσιμο για Windows Server, AWS και Azure.

SolarWinds Security Event Manager (ΔΩΡΕΑΝ ΔΟΚΙΜΗ)

SolarWinds Security Event Managerείναι ένα εργαλείο διαχείρισης αρχείων καταγραφής που μπορεί να συλλέγει και να αναλύει δεδομένα καταγραφής σε πραγματικό χρόνο για τον εντοπισμό επιθέσεων στον κυβερνοχώρο. Διαθέτει ανίχνευση ανωμαλιών και αυτοματοποιημένη αποκατάσταση απειλών, έτσι ώστε τη στιγμή που θα εντοπιστεί κάτι ύποπτο, το πρόγραμμα θα αρχίσει να βρίσκει λύση.

Βασικά χαρακτηριστικά:

• Συλλογή κορμών
• SIEM
• Χαρακτηριστικά ελέγχου
• Αναφορά GLBA
• Ανίχνευση εισβολής

Υπάρχουν 300 ενσωματωμένες αναφορές συμμόρφωσης που έχουν σχεδιαστεί ειδικά για να συμμορφώνονται με τις κανονιστικές απαιτήσεις GLBA, PCI DSS, SOX, NERC CIP και HIPAA. Μπορείτε ακόμη και να δημιουργήσετε προσαρμοσμένες αναφορές εάν πρέπει να προσέχετε συγκεκριμένες απειλές. Αυτές οι αναφορές μπορούν να προγραμματιστούν και να εξαχθούν για να διασφαλιστεί ότι φτάνουν πάντα έγκαιρα στους απαραίτητους υπαλλήλους.

Πλεονεκτήματα:

• Κατασκευασμένο με γνώμονα την επιχείρηση, μπορεί να παρακολουθεί λειτουργικά συστήματα Windows, Linux, Unix και Mac
• Υποστηρίζει 300+ αναφορές συμμόρφωσης που καλύπτουν σχεδόν όλα τα ρυθμιστικά πρότυπα
• Πάνω από 700 προρυθμισμένες ειδοποιήσεις, κανόνες συσχέτισης και πρότυπα ανίχνευσης παρέχουν άμεσες πληροφορίες κατά την εγκατάσταση
• Επιτρέπει στο sysadmin να δημιουργεί εύκολα προσαρμοσμένες αναφορές και να προγραμματίζει σαρώσεις συμμόρφωσης

Μειονεκτήματα:

• Πυκνό χαρακτηριστικό – απαιτεί χρόνο για την πλήρη εξερεύνηση όλων των χαρακτηριστικών

Εάν χρειάζεστε ένα εργαλείο που θα σας βοηθήσει να βρείτε απειλές για NPI, τότε το SolarWinds Security Event Manager είναι ένα εργαλείο που αξίζει να εξεταστεί. Το SolarWinds Security Event Manager ξεκινά από την τιμή των 4.665 $ (3.540 £). Υπάρχει επίσης μια δωρεάν δοκιμή 30 ημερών.

SolarWinds Security Event Manager Λήψη ΔΩΡΕΑΝ δοκιμής 30 ημερών

ManageEngine ADAudit Plus

ManageEngine ADAudit Plusείναι μια λύση ελέγχου συμμόρφωσης που βοηθά τις εταιρείες να συμμορφώνονται με τους κανονισμούς GLBA, FISMA, PCI, HIPAA και SOX. Το πρόγραμμα σάς επιτρέπει να παρακολουθείτε Επιτυχή Σύνδεση / Αποσύνδεση, Ανεπιτυχή Σύνδεση, Σύνδεση RDP, Πρόσβαση σε αρχείο, Παρακολούθηση Ακεραιότητας Αρχείων, Αλλαγές Πολιτικής στο AD, Αλλαγές σε Χρήστες, Ομάδες & Δικαιώματα. Η παρακολούθηση πληροφοριών όπως η πρόσβαση σε αρχεία σάς επιτρέπει να παρακολουθείτε για μη εξουσιοδοτημένους χρήστες.

Βασικά χαρακτηριστικά:

• Διαχείριση λογαριασμού χρήστη
• Παρακολούθηση δραστηριότητας
• Παρακολούθηση ακεραιότητας αρχείων
• Αναφορά GLBA

Το λογισμικό ManageEngine ADAudit Plus συνοδεύεται από προδιαμορφωμένες αναφορές για το GLBA. Υπάρχουν πάνω από 200 πρότυπα αναφορών που μπορείτε να δημιουργήσετε ή να προγραμματίσετε για το μέλλον. Υπάρχουν επίσης ειδοποιήσεις σε πραγματικό χρόνο, ώστε να ειδοποιείστε εάν τα δεδομένα έχουν παραβιαστεί. Οι ειδοποιήσεις σε πραγματικό χρόνο σάς βοηθούν να παρακολουθείτε τυχόν αλλαγές ή παραβιάσεις που μπορεί να σημαίνει ότι πρέπει να ειδοποιήσετε τους πελάτες.

Πλεονεκτήματα:

• Επικεντρώθηκε σε μεγάλο βαθμό στις απαιτήσεις συμμόρφωσης, καθιστώντας το μια καλή επιλογή για τη διατήρηση της συμμόρφωσης του κλάδου
• Οι προδιαμορφωμένες αναφορές συμμόρφωσης σάς επιτρέπουν να βλέπετε πού βρίσκεστε με λίγα μόνο κλικ
• Μπορεί να διαφοροποιήσει την τυχαία πρόσβαση σε εσωτερικές απειλές με χρήση τεχνητής νοημοσύνης
• Υποστηρίζει αυτοματισμό και scripting
• Εξαιρετική διεπαφή χρήστη

Μειονεκτήματα:

• Κατασκευασμένο με πολυάριθμες εταιρικές δυνατότητες – δεν είναι η καλύτερη επιλογή για μικρότερα δίκτυα

Υπάρχουν τέσσερις εκδόσεις του ManageEngine ADAudit Plus: Δωρεάν, Δοκιμαστική, Τυπική και Επαγγελματική. Η δωρεάν έκδοση περιλαμβάνει 25 σταθμούς εργασίας δωρεάν. Η δοκιμαστική έκδοση είναι δωρεάν για 30 ημέρες. Η τυπική έκδοση κοστίζει 595 $ με 200 συν εκθέσεις ελέγχου. Η έκδοση Professional ξεκινά από 945 $ και περιλαμβάνει πρόσθετες δυνατότητες, όπως έλεγχος ρυθμίσεων αντικειμένων πολιτικής ομάδας. Μπορείς κατεβάστε το δωρεάν tria l έκδοση εδώ .

Η συμμόρφωση GLBA είναι απλώς καλή επιχείρηση

Η προστασία των πελατών σας από επίμονους κυβερνοεγκληματίες και απατεώνες δεν είναι εύκολη. Αφιερώνοντας χρόνο για να συμμορφωθείτε με τις απαιτήσεις της GLBA, όχι μόνο θα αποφύγετε τη ντροπή να πληρώσετε βαριά πρόστιμα, αλλά και θα κρατήσετε τους πελάτες σας ασφαλείς. Η απάτη μπορεί να έχει καταστροφικό αντίκτυπο στους καταναλωτές και εφαρμόζοντας διασφαλίσεις μπορείτε να διασφαλίσετε ότι οι πελάτες σας δεν θα πέσουν θύματα εγκληματιών

Το να προστατεύσετε τα δεδομένα των πελατών σας δείχνει επίσης ότι έχετε δεσμευτεί να διατηρήσετε το απόρρητό τους. Η απόκτηση της εμπιστοσύνης των πελατών έχει να κάνει τόσο με το να δείξετε ότι μπορούν να σας εμπιστευτούν τα δεδομένα τους όσο και με οποιοδήποτε φανταχτερό προϊόν μπορείτε να τους προσφέρετε.

Οι αναφορές συμμόρφωσης GLBA θα είναι ένα ζωτικής σημασίας εργαλείο για να σας βοηθήσουν να παρακολουθείτε στενά τη στρατηγική σας για την προστασία των δεδομένων και να αντιμετωπίζετε άμεσα τα τρωτά σημεία και τις παραβιάσεις. Η αποδοχή της διαφάνειας με τους πελάτες είναι απαραίτητη για την τήρηση των όρων της GLBA.

Προστατέψτε τη φήμη σας ακολουθώντας μια προληπτική προσέγγιση για την προστασία των δεδομένων, ενημερώνοντας τους υπαλλήλους για τις βέλτιστες πρακτικές ασφαλείας και τις απειλές, όπως η προσχήματα, για να βεβαιωθείτε ότι δεν θα είστε ποτέ απροετοίμαστοι.

Συχνές ερωτήσεις συμμόρφωσης GLBA:

Ποιοι είναι οι τρεις βασικοί κανόνες του GLBA;

Ο νόμος Gramm-Leach-Bliley είναι γραμμένος σε τρεις ενότητες και καθεμία από αυτές τις ενότητες αποτελεί έναν «κανόνα». Οι τρεις βασικοί κανόνες του GLBA είναι:

1. Κανόνας οικονομικού απορρήτου Ρυθμίζει τη συλλογή, διαχείριση και αποκάλυψη ιδιωτικών οικονομικών πληροφοριών
2. Ο Κανόνας Διασφαλίσεων Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να εφαρμόζουν προγράμματα ασφάλειας σε ιδιωτικές χρηματοοικονομικές πληροφορίες
3. Κανόνας διατάξεων προσχηματισμού Εντολές ότι οι κάτοχοι ιδιωτικών οικονομικών πληροφοριών πρέπει να λαμβάνουν μέτρα για να αποτρέψουν την πρόσβαση σε αυτά τα δεδομένα μέσω εξαπάτησης, όπως phishing ή κοινωνική μηχανική

Πώς συμμορφώνομαι με το GLBA;

Ο ευκολότερος τρόπος συμμόρφωσης με το GLBA είναι να αποκτήσετε ένα εργαλείο διαχείρισης δεδομένων που επιβάλλει τη διακυβέρνηση δεδομένων για το GLBA.

Τι πρέπει να λάβουν υπόψη οι οργανισμοί για να συμμορφωθούν με το GLBA;

Υπάρχουν τέσσερις τύποι συστημάτων που πρέπει να ληφθούν υπόψη για να είναι συμβατά με το GLBA:

• Διαχείριση συναίνεσης Ο νόμος απαιτεί οι πελάτες να ενημερώνονται για το σχέδιο ασφάλειας πληροφοριών της υπηρεσίας, δίνοντάς τους τη δυνατότητα να απορρίψουν.
• Διαχείριση απορρήτου δεδομένων Αυτό θα πρέπει να εφαρμόσει το σχέδιο ασφάλειας και να ελέγξει την πρόσβαση σε ιδιωτικές οικονομικές πληροφορίες, διασφαλίζοντας ότι χρησιμοποιούνται μόνο κατάλληλα.
• Πρόληψη απώλειας δεδομένων Οι χώροι αποθήκευσης δεδομένων που περιέχουν ιδιωτικές οικονομικές πληροφορίες θα πρέπει να αναγνωρίζονται και να ελέγχονται με επίβλεψη και αποκλεισμούς της διακίνησης αυτών των ευαίσθητων δεδομένων.
• Καταγραφή δραστηριότητας Καταγραφή όλων των ενεργειών που συνδέονται με τις αποθήκες ιδιωτικών οικονομικών πληροφοριών για τη δημιουργία διαδρομής ελέγχου συμμόρφωσης