GLBA vastavusaruannete kontroll-loend
TheGramm-Leach Bliley akt(GLBA) võiFinantsteenuste moderniseerimise seadusnagu on ka teada, on mänginud tohutut rolli finantsasutuste tundliku teabe haldamise muutmisel.
Mis on GLBA?
GLBA oli 1999. aastal vastu võetud USA seadus, mis reguleeris, kuidas finantsasutused peavad kaitsma tundlikku tarbijateavet. Sel ajal loodi GLBA, et tühistada 1933. aasta Glass-Steagalli seadus, mis keelas kommertspankadel pakkuda täiendavaid finantsteenuseid, nagu kindlustus.
Kui akt vastu võetud, siis isikuandmed nagunimed,aadressidjakrediidiajalugutuleks hoida privaatsena. Organisatsioonid vastutavad kliendiandmete privaatsuse säilitamise meetmete rakendamise eest.
Seaduse kohaselt oli finantsasutustel kohustus teavitada kliente, kuidas nende mitteavalikku isikuandmeid (NPI) jagatakse, milliseid andmeid nad koguvad ja kellega neid andmeid jagavad. Lisaks oleks klientidel ka õigus valida, kas nad soovivad, et nende KTK jagataks.
Lisaks nendele välistele kohustustele peavad finantsasutused rakendama ka sisemisi kaitsemeetmeid, et kaitsta tarbijate andmeid valedesse kätesse sattumise eest. Kaitsemeetmed hõlmavad 'rünnakute, sissetungide ja muude süsteemitõrgete ennetus- ja reageerimismeetmeid'.
Üldjuhul on need meetmed küberturvalisuse parimad tavad, nagu tulemüürid ja krüptimine koos konkreetsete tööriistadega, nagu võrgu sissetungimise tuvastamise süsteemid. Kohandatud turvaplaani koostamine on vajalik ka selleks, et üksikasjalikult kirjeldada samme, mida organisatsioon võtab oma klientide teabe kaitsmiseks. Näiteks paberdokumentide hävitamine tükeldamise teel, et vältida pettusi.
Pettustevastane võitlus on üks GLBA põhieesmärke. GLBA sätestab selgelt, et asutustel peab olema ennetamiseks tugev kaitseettekäändel, pettuse vorm, mille puhul volitamata isik kasutab isikuandmetele juurdepääsu saamiseks võltsitud või varastatud dokumente (vaatleme neid kaitsemeetmeid üksikasjalikumalt).
Miks on GLBA oluline?
GLBA on oluline mitte ainult sellepärastseada andmetöötlusstandardidaga sellepärastsuurendatud tarbijaõigusi. Seadus muutis seaduseks, et kliendid pääsevad oma mittetulundusühingutele juurde, kui nad soovivad suurendada igapäevaste tarbijate ja finantsasutuste vahelist läbipaistvust.
Kliendid saaksid täpselt teada, kuidas nende andmeid kasutatakse ja kellega neid andmeid jagatakse. Läbipaistvuse kasv andis tarbijatele võimaluse valida, kuidas nende andmeid töödeldakse, ja loobuda teabe jagamisest kolmandate osapooltega.
Seadus oli oluline ka seetõttu, et see käsitles selliseid probleeme nagu pettus ja ettekääne. GLBA muutis ebaseaduslikuks selle, et keegi üritab pääseda juurde kaitstud andmetele, matkides teist isikut või pettes. Samuti aitas ettekäände esilekutsumine sundida finantsasutusi astuma suuremaid samme isikuandmete kaitsmiseks.
Kuigi pettus on finantssektoris alati väljakutseks olnud, tõstis GLBA esile väljakutsed ja pakkus välja ajakohastatud lähenemisviisi nende ohtude käsitlemiseks. Täna tähendab see, et vähem tarbijaid langeb petturite ohvriks.
Kellele GLBA kehtib?
GLBA kehtib finantsasutuste ja kõigi ettevõtete kohta, mis pakuvad tarbijatele finantstooteid või -teenuseid. Teisisõnu, ettevõttele, mis pakub finantstoodet, nagu laen või kindlustus, kehtivad nõuded ja ta peab kaitsma klientide andmeid volitamata juurdepääsu eest.
Praktikas tähendab see sedaiga ettevõte, mis pakub finants- või maksunõustamistkehtivad GLBA piirangud. Isegi organisatsioonid, mida ei peeta finantsasutusteks, võivad kuuluda selle katuse alla. Reeglid on nii ulatuslikud, et isegi krediitkaarti väljastav jaemüügiettevõte peab neid järgima!
Millised on karistused rikkumiste eest?
Karistused GLBA mittejärgimise eest on andestamatud. Karistused ulatuvad rahatrahvist kuni viieaastase vangistuseni. Finantsasutus võib ollatrahvi 100 000 dollarit iga rikkumise eest. Kui sellest ei piisanud, võidakse ametnikele ja direktoritele iga rikkumise eest määrata kuni 10 000 dollari suurune trahv. Rikkumise eest määratavate karistuste raskusel võivad olla laastavad rahalised ja õiguslikud tagajärjed.
Neid meetmeid rakendatakse rangelt. Just hiljuti, Venmo ja PayPal Inc. väidetavalt rikkusid kliendikaitseseadusi ning pidid jõudma kokkuleppele Federal Trade Commissioniga.
Lisaks seaduslikele karistustele võib eeskirjade eiramine oluliselt kahjustada finantsasutuse mainet. Ettevõtted, kes jagavad andmeid ilma loata ja ei võta andmekaitset tõsiselt, kaotavad paratamatult nii olemasolevaid kui ka potentsiaalseid kliente.
GLBA vastavuse kontroll-loend
GLBA on jagatud kolmeks osaks. Kõik need sisaldavad erinevaid nõudeid, mida peate järgima. Need kolm jaotist on järgmised:
- Privaatsusreeglid
- Kaitsemeetmete reegel
- Ettekäände esitamise sätted
Privaatsusreeglid
ThePrivaatsusreegelteatab, et sinapeab kliente teie privaatsuseeskirjadest teavitamajakaitsta oma andmete konfidentsiaalsust. Suhte loomise või poliitika muutmise hetkel tuleb kliendiga jagada privaatsusteadet.
Privaatsusteatis peab kliendile selgitama, millist teavet kogutakse, kuidas seda teavet jagatakse, kellega seda jagatakse ja kuidas te seda teavet kaitsete. Teade peaks pakkuma neile ka võimalust lubada või loobuda oma isikuandmete jagamisest kolmandate isikutega.
Lisaks peate iga kord, kui kavatsete avalikustada kliendi mittetulundusühingu isikuandmeid, esitama talle ka privaatsusteatise. On vajaväljastada iga-aastaseid privaatsusteatisiet kliendid oleksid kursis sellega, kuidas te nende andmeid käsitlete. Kliendi ja asutuse vahelise läbipaistvuse säilitamine on siin esmatähtis.
Kaitsemeetmete reegel
TheKaitsemeetmete reeglistik kirjeldab, milliseid meetmeid peate võtma, et hoida mittetulundusühingu turvalisust. Selle reegli üks olulisemaid elemente on see, et finantsasutused peavad välja töötama üksikasjaliku kirjaliku turvaplaani, milles kirjeldatakse, kuidas klientide andmeid kaitstakse. Üldine turvaplaan ei toimi, seega peavad asutused konkreetsete haavatavuste leidmiseks läbi viima riskianalüüsi.
Turvaplaan ise peab sisaldama mitmeid komponente:
- Määrake üks või mitu töötajat infoturbeprogrammi koordineerimiseks.
- Tehke kindlaks ja hinnake klienditeabega seotud riske ettevõtte igas asjakohases tegevusvaldkonnas ning hinnake kehtivate kaitsemeetmete tõhusust nende riskide ohjamiseks.
- Kavandage ja rakendage kaitsemeetmete programm ning jälgige/testige seda regulaarselt.
- Valige teenusepakkujad, kes suudavad kasutada asjakohaseid kaitsemeetmeid, veenduge, et teie leping nõuab, et nad järgiksid kaitsemeetmeid, ja jälgige, kuidas nad klienditeavet käsitlevad.
- Hinnake ja kohandage programmi asjakohaste asjaolude, sealhulgas ettevõtte äritegevuse või tegevuse muutuste või turbetestide ja -seire tulemuste valguses.
Neid meetmeid tuleb kohaldada igal üksikjuhul eraldi. Kõige tähtsam on rakendada kaitsemeetmeid, mis on kooskõlas teie olukorraga. Kliendi edastatavate andmete kaitsmiseks on oluline rakendada üldisi parimaid tavasid, nagu andmete krüpteerimine.
Oluline on märkida, et finantsasutused vastutavad ka selle eest, et kõik kolmandatest isikutest teenusepakkujad rakendaksid kliendiandmete kaitsmiseks vajalikke protseduure. Kui töötate ettevõttega, millel pole piisavat kaitset, võite olla rikkumiste suhtes haavatav.
Lõpuks peate andmerikkumistest võimalikult kiiresti kliendile teatama. On palju intsidentidele reageerimise funktsioonidega tarkvaratooteid, mis aitavad teil tuvastada andmetega seotud rikkumisi ja reageerida.
Ettekäände esitamise sätted
TheEttekäände esitamise sättedon animekiri sammudest, mida organisatsioonid peavad ettekäände või sotsiaalse manipuleerimise lõpetamiseks astuma. Ettekääne on sisuliselt pettuse vorm, kus isik kehastab teise isikuna juurdepääsu privaatsele teabele.
Pettuste vältimiseks eeldatakse, et finantsasutused rakendavad kaitsemeetmeid, nagu töötajate koolitus, et vältida volitamata juurdepääsu mittetulundusühingutele. Töötajate väljaõpe on üks parimaid relvi, mida saate ettekäänete vastu kasutada. Töötaja koolitamine ettekäände tunnuste osas võimaldab tal kahtlase tegevuse korral häirekella tõsta.
Kaitsemeetmete reegli ja ettekäände esitamise sätete vahel on teatav ristumine, kuna organisatsioonid peavad pettuste tuvastamiseks looma küberturvalisuse plaani ja jälgima kontotegevust. Peamine on olla teadlik ettekäänetest ja rakendada meetmeid, et minimeerida kellegi teisena esinemise ja pettuse ohtu.
GLBA vastavusaruanded
Vastavusaruannetel on andmekaitse demonstreerimisel ülioluline roll. Oma andmete kaitsmiseks peab teil olema süsteem, mis pakub armatuurlaudu ja aruandlust, et saaksite tuvastada klientide andmeid ähvardavaid ohte ja vastavalt tegutseda. Kui teil pole vajalikku nähtavust, ei saa te ohte tuvastada ja NPI-d kaitsta enne, kui see on ohustatud.
Paljudel tarkvaraplatvormidel on aruandlusfunktsioonid, mis on loodud GLBA vastavust silmas pidades. Selles jaotises vaatleme mõningaid lahendusi, mida saate vastavusaruannete koostamiseks kasutada.
- SolarWindsi turvasündmuste haldur (TASUTA PROOVIversioon)See kohapealne pakett pakub logihaldust, mis sisaldab GLBA-le kohandatud aruandlusmoodulit. Töötab Windows Serveris.
- ManageEngine ADAudit PlusPakett kasutajate tegevuse jälgimiseks, millel on sisseehitatud GLBA aruandlus ja mis aitab teil ka tundlikke andmeid kaitsta. Saadaval Windows Serveri, AWS-i ja Azure'i jaoks.
SolarWindsi turvasündmuste haldur (TASUTA PROOVIversioon)
SolarWindsi turvasündmuste halduron logihaldustööriist, mis suudab küberrünnakute tuvastamiseks koguda ja analüüsida reaalajas logiandmeid. Sellel on anomaaliate tuvastamine ja automaatne ohtude kõrvaldamine, nii et kohe, kui midagi kahtlast on märgatud, hakkab programm lahendust leidma.
Põhijooned:
- Palkide kogumine
- SIEM
- Auditeerimisfunktsioonid
- GLBA aruandlus
- Sissetungi tuvastamine
Seal on 300 sisseehitatud vastavusaruannet, mis on spetsiaalselt loodud GLBA, PCI DSS, SOX, NERC CIP ja HIPAA regulatiivsete nõuete täitmiseks. Saate isegi koostada kohandatud aruandeid, kui peate jälgima konkreetseid ohte. Neid aruandeid saab ajastada ja eksportida, et tagada nende õigeaegne jõudmine vajalike töötajateni.
Plussid:
- Ettevõtlikkust silmas pidades loodud, saab jälgida Windowsi, Linuxi, Unixi ja Maci operatsioonisüsteeme
- Toetab 300+ vastavusaruannet, mis hõlmavad peaaegu kõiki regulatiivseid standardeid
- Üle 700 eelkonfigureeritud hoiatuse, korrelatsioonireeglid ja tuvastusmallid annavad installimisel kohese ülevaate
- Võimaldab süsteemiadministraatoril hõlpsasti koostada kohandatud aruandeid ja ajastada vastavuskontrolli
Miinused:
- Funktsioon tihe – kõigi funktsioonide täielik uurimine nõuab aega
Kui vajate NPI-le ohtude leidmiseks tööriista, on SolarWinds Security Event Manager tööriist, mida tasub uurida. SolarWinds Security Event Manager algab hinnaga 4665 dollarit (3540 naela). Samuti on 30-päevane tasuta prooviperiood.
SolarWinds Security Event Manager laadige alla 30-päevane TASUTA prooviversioon
ManageEngine ADAudit Plus
ManageEngine ADAudit Pluson vastavusauditi lahendus, mis aitab ettevõtetel järgida GLBA, FISMA, PCI, HIPAA ja SOX määrusi. Programm võimaldab teil jälgida edukat sisselogimist / väljalogimist, ebaõnnestunud sisselogimist, RDP sisselogimist, juurdepääsu failidele, failide terviklikkuse jälgimist, AD poliitika muudatusi, kasutajate, rühmade ja lubade muudatusi. Seireteabe, nagu juurdepääs failile, jälgimine võimaldab teil jälgida volitamata kasutajaid.
Põhijooned:
- Kasutajakonto haldamine
- Tegevuse jälgimine
- Failide terviklikkuse jälgimine
- GLBA aruandlus
Tarkvara ManageEngine ADAudit Plus on varustatud GLBA eelkonfigureeritud aruannetega. Seal on üle 200 aruandemalli, mida saate luua või tulevikuks ajastada. Samuti on olemas reaalajas märguanded, et teid teavitataks, kui andmed on ohustatud. Reaalajas hoiatused aitavad teil silma peal hoida mis tahes muudatustel või rikkumistel, mis võivad tähendada, et peate kliente teavitama.
Plussid:
- Keskendutakse tugevalt vastavusnõuetele, mistõttu on see hea valik tööstuse nõuetele vastavuse säilitamiseks
- Eelkonfigureeritud vastavusaruanded võimaldavad teil vaid mõne klõpsuga näha, kus te seisate
- Suudab tehisintellekti kasutades eristada kogemata juurdepääsu salmi siseringi ohule
- Toetab automatiseerimist ja skriptimist
- Suurepärane kasutajaliides
Miinused:
- Ehitatud paljude ettevõtte funktsioonidega – see pole väiksemate võrkude jaoks parim valik
ManageEngine ADAudit Plusil on neli versiooni: tasuta, prooviversioon, standardne ja professionaalne. Tasuta versioon sisaldab 25 tasuta tööjaama. Prooviversioon on 30 päeva tasuta. Standardversioon maksab 595 dollarit koos 200 pluss auditiaruandega. Professionaalse versiooni hind algab 945 dollarist ja sisaldab lisafunktsioone, nagu rühmapoliitika objektide sätete audit. Sa saad laadige alla tasuta prooviversioon l versioon siin .
GLBA järgimine on lihtsalt hea äri
Klientide kaitsmine püsivate küberkurjategijate ja petturite eest ei ole lihtne. Kui võtate aega GLBA nõuete täitmiseks, ei väldita te mitte ainult suurte trahvide maksmise häbi, vaid hoiate ka oma kliente turvaliselt. Pettusel võib olla tarbijatele laastav mõju ja kaitsemeetmete rakendamisega saate tagada, et teie kliendid ei lange kurjategijate ohvriks
Oma klientide andmete kaitsmise nimel pingutamine näitab ka seda, et olete pühendunud nende privaatsuse säilitamisele. Klientide usalduse võitmine tähendab samavõrra näitamist, et nad võivad teile usaldada oma andmeid, kui ka kõigi uhkete toodete puhul, mida saate neile pakkuda.
GLBA vastavusaruanded on ülioluline tööriist, mis aitab teil oma andmekaitsestrateegial tähelepanelikult silma peal hoida ning haavatavuste ja rikkumistega kiiresti toime tulla. Läbipaistvus klientidega on GLBA tingimuste täitmiseks hädavajalik.
Kaitske oma mainet, lähenedes andmekaitsele ennetavalt, teavitades töötajaid turvalisuse parimatest tavadest ja ohtudest (nt ettekääne), et olla kindel, et te pole kunagi ettevalmistamata.
GLBA vastavuse KKK:
Millised on GLBA kolm peamist reeglit?
Gramm-Leach-Bliley seadus on kirjutatud kolmes osas ja igaüks neist osadest moodustab 'reegli'. GLBA kolm peamist reeglit on järgmised:
- Finantsprivaatsuse reegel Reguleerib erafinantsteabe kogumist, haldamist ja avalikustamist
- Kaitsemeetmete reegel Nõuab, et finantsasutused rakendaksid privaatse finantsteabe turvaprogramme
- Ettekäände esitamise sätete reegel Korraldus, mille kohaselt peavad privaatse finantsteabe valdajad astuma samme, et takistada juurdepääsu nendele andmetele pettuse, näiteks andmepüügi või sotsiaalse manipuleerimise kaudu.
Kuidas GLBA-d järgida?
Lihtsaim viis GLBA järgimiseks on hankida andmehaldustööriist, mis jõustab GLBA andmehalduse.
Mida peavad organisatsioonid GLBA-ga järgimiseks arvestama?
GLBA-ga ühildumiseks tuleb kaaluda nelja tüüpi süsteeme.
- Nõusoleku haldamine Seadus nõuab, et kliente teavitataks teenuse infoturbeplaanist, mis annab neile võimaluse keelduda.
- Andmete privaatsuse haldus See peaks rakendama turvaplaani ja kontrollima juurdepääsu privaatsele finantsteabele, tagades, et seda kasutatakse ainult nõuetekohaselt.
- Andmekao vältimine Privaatset finantsteavet sisaldavad andmesalved tuleks tuvastada ja kontrollida nende tundlike andmete liikumise järelevalvega ja blokeerimisega.
- Tegevuste logimine Kõigi toimingute salvestamine, mis on seotud privaatse finantsteabe salvestustega, et luua vastavuse kontrolljälg