FTC-Schutzmaßnahmen – Frist zur Einhaltung der Regelung am 9. Juni

Die Federal Trade Commission (FTC) hat den 9. Juni als Frist für Finanzinstitute zur Einhaltung der neuen FTC Safeguards Rule festgelegt, die sie dazu verpflichtet, Maßnahmen zum Schutz von Kundendaten zu ergreifen.
In der noch sehr kurzen Geschichte des Internets haben Hacker immer wieder neue, brisante Informationen aufgedeckt. Datensätze als es Sterne in unserer Galaxie gibt … oder in 10 oder gar 100 Galaxien. Ende 1999, als Regierungen begannen, das Ausmaß der Bedrohungen für kritische Datensysteme zu begreifen, die nahezu alle Säulen der westlichen Gesellschaft bilden, erließ der US-Kongress daher das Gesetz zur Verhinderung des Abfangens kritischer Datensysteme. Gramm-Leach-Bliley-GesetzDieses Gesetz zielte darauf ab, die Regulierung von Finanzdienstleistungen neu zu ordnen und hat infolgedessen die gesamte Finanzbranche umgestaltet.
Spulen wir vor zum 9. Juni 2023, und Sie finden neue Bestimmungen (veröffentlicht im Jahr 2021). von der FTC Die in Kraft tretenden Regelungen erweitern die Definitionen und den Anwendungsbereich der betroffenen Systeme, Organisationen, Prozesse und Verfahren. Cybersicherheitskommissionen und -experten hoffen, dass diese Änderungen, auf die wir im Folgenden eingehen werden, die bestehenden Informationssicherheitspraktiken der Kunden stärken und es mehr Organisationen ermöglichen, sinnvolle risikobasierte Ansätze zu verfolgen.
Es ist wichtig zu beachten, dass die Einhaltung dieser Anforderungen für die Finanzdienstleistungsbranche und damit verbundene Verarbeiter von Finanzdaten nicht optional ist.
Wer hat die Daten beeinflusst?
Ein Finanzinstitut ist jedes Unternehmen, das mit Währungen handelt, treuhänderische Pflichten hat, Geschäftsunterlagen führt, Kundendaten verwaltet und viele andere Aspekte des amerikanischen Handels- und Steuersystems als Haupttätigkeiten agiert (obwohl es bestimmte Ausnahmen gibt). Ausnahmen die bestimmte Berichtspflichten im Rahmen eines Informationssicherheitsmanagementplans für Unternehmen mit weniger als 5.000 Kunden beinhalten).
Die Aktualisierung 2021/23 erweitert die Regelung von Banken und Brokerhäusern auf Unternehmen, die üblicherweise nicht als solche gelten. FinanzinstituteDazu gehören beispielsweise Autohändler und Aufbereiter. Die Regelung umfasst auch diejenigen, die folgende Dienstleistungen anbieten: Verbindungen zwischen Käufern und Verkäufern auf einer offenen Börse oder Plattform, die Transaktionen im Auftrag Dritter abwickelt. Zunehmend Fintechs fallen unter die Beobachtung der FTC. Daher kann es sein, dass Ihr Unternehmen auf dieser Liste erscheint.
Die bloße Verwendung von Geld bedeutet jedoch nicht automatisch, dass Sie dem GLBA und der FTC-Schutzregel unterliegen – beispielsweise ein kleiner Einzelhändler ohne eigenes Kreditantragssystem – und somit nicht der belastenden regulatorischen Aufsicht unterliegen. Dennoch würden Sie von der Anwendung einiger dieser strengeren Strategien durch eine verbesserte Geschäftskontinuität und -sanierungsfähigkeit profitieren.
Was müssen Sie tun?
Die meisten mittelständischen und großen Unternehmen, die das Vertrauen ihrer Kunden und Partner gewinnen wollen, erreichen dies durch die proaktive Einhaltung regulatorischer Vorgaben. Dazu gehören weitreichende Informationssicherheitsstandards (Infosec) wie SOC I/II und ISO 27001und branchenspezifische Regelungen wie PCI und FINRA.
Dieses Ökosystem erfordert generell einen umfassenden Ansatz zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Infrastruktur. Unternehmen, die unter die GLBA-Schutzbestimmungen fallen, müssen Programme für das Informationssicherheitsmanagement in einem schriftlichen Plan implementieren, der auf Art, Umfang und Sensibilität der verarbeiteten Daten zugeschnitten ist.
Sie müssen bekannte und neu auftretende Bedrohungen für Systeme und Netzwerke verstehen und abwehren, gespeicherte oder verarbeitete Daten (z. B. Datenbanken oder einzelne Transaktionen) schützen und Ihre Fähigkeit zur Berichterstattung über Datenzugriffe und -nutzung dokumentieren – um nur einige Beispiele zu nennen. Dieser Plan muss regelmäßig überprüft und aktualisiert werden, Mitarbeiter und Auftragnehmer müssen über seine Grundsätze und Anforderungen informiert werden, und es müssen fortlaufende Sicherheitsregeln und Überwachungsmaßnahmen eingerichtet werden.
Wie sieht ein vernünftiges ISMS aus?
Ein Informationssicherheitsmanagementsystem (ISMS) bzw. ein ISMS-Plan definiert die Richtlinien, Standardarbeitsanweisungen, Datenparameter, Zugriffskontrollen, Protokollierung und weitere Parameter zur Einhaltung branchenüblicher Audits. Die Umfassendheit eines ISMS-Programms hängt jedoch von verschiedenen Faktoren ab, darunter Unternehmensgröße, Datensensibilität, Risikoprofile und Bedrohungsanalysen. Angesichts der weiten Definition von Finanzinstituten durch die FTC müssen Sie gegebenenfalls ein Informationssicherheitsprogramm entwickeln, implementieren und aufrechterhalten.
Als Organisation oder Führungsteam sollten Sie Ihre Mindestanforderungen an die Risikotoleranz so ausrichten, dass Ihre Geschäftsinteressen nicht unnötig beeinträchtigt werden. Ähnlich wie bei einer Vorbewertung für ein ISO-Audit sollten Sie eine von allen Beteiligten mitgetragene Informationssicherheits-Baseline erstellen. Diese definiert Betriebskosten, Personalressourcen, rechtliche Risiken und weitere wichtige Faktoren, die Ihre Einhaltung gesetzlicher Bestimmungen direkt beeinflussen.
Die Aufgaben zur Einhaltung der Vorschriften lassen sich in „Domänen“ einteilen, die „Kontrollen“ enthalten, welche Sie beim Datensicherheitsmanagement unterstützen und sehr effektiv sein können, wenn Sie:
- Benennen Sie eine qualifizierte Person, die das Informationssicherheitsprogramm Ihres Unternehmens implementiert und überwacht.
- eine Risikobewertung durchführen
- Entwerfen und implementieren Sie Schutzmaßnahmen, um die im Rahmen Ihrer Risikobewertung identifizierten Risiken zu kontrollieren.
- Überwachen und testen Sie regelmäßig die Wirksamkeit Ihrer Sicherheitsvorkehrungen.
- Schulen Sie Ihre Mitarbeiter
- Überwachen Sie Ihre Dienstanbieter
- Halten Sie Ihr Informationssicherheitsprogramm auf dem neuesten Stand.
- einen schriftlichen Notfallplan erstellen
- Verlangen Sie, dass Ihre qualifizierte Person dem Aufsichtsrat Bericht erstattet.
Es ist außerdem wichtig, die Voraussetzungen für dieses Programm zu prüfen. Sie sollten den Datenwert, den Speicherort, die Sensibilität, die Anwendungsfälle, den Zeithorizont, die Benutzer, die Eigentümer und andere Asset-Identifikatoren verstehen, die sicher und angemessen erfasst und analysiert werden müssen.
Abschluss
Das aktualisierte Gesetz mag zwar für viele Unternehmen, die bisher keiner behördlichen Aufsicht unterlagen, potenziell komplexer sein, ist aber für alle wichtig, nicht nur für Dienstleister. Wir alle speichern sensible Daten bei Finanzinstituten, manchmal sogar ohne unser Wissen (man denke nur an den Equifax-Datendiebstahl). Gesetze zum Schutz dieser Daten bieten uns zusätzliche Sicherheit; die konsequente und gerechte Anwendung des Standards auf alle Dienstleister kommt unserer persönlichen Finanzlage und der gesamten Wirtschaft zugute.
Um die FTC-Sicherheitsrichtlinien einzuhalten, können Sie Cyera nutzen, um Ihr Datensicherheitsprogramm zu stärken und Transparenz über Ihre Kundendaten zu erlangen. Das Verständnis Ihrer Daten ist die Grundlage für die Implementierung effektiver Kontrollmechanismen. Mit Cyera können Sie Folgendes erwarten:
- Erfassen Sie alle Ihre Kundeninformationen
- Verstöße gegen die Compliance-Richtlinien an Kundeninformationen melden
- Datenexpositionen automatisch den Schweregrad zuweisen
- Überwachen Sie kontinuierlich die Angriffsfläche für Daten.
- Identifizieren Sie die Benutzer, die auf Kundeninformationen zugreifen.
- Überprüfen Sie den Verschlüsselungsstatus der Kundeninformationen
- Verbesserung der Segmentierung von Kundeninformationen in sichere Umgebungen
- Zugriffsrechte und Berechtigungen für Kundeninformationen prüfen
- Risiken durch automatisierte Arbeitsabläufe beheben
Die Datensicherheitsplattform von Cyera bietet umfassenden Kontext zu Ihren Daten und wendet korrekte, kontinuierliche Kontrollen an, um Cybersicherheit und Compliance zu gewährleisten.
Cyera verfolgt einen datenzentrierten Sicherheitsansatz, indem es die Gefährdung Ihrer ruhenden und genutzten Daten analysiert und mehrere Verteidigungsebenen implementiert. Da Cyera den Datenkontext ganzheitlich auf Ihre gesamte Datenlandschaft ausweitet, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, den Speicherort ihrer Daten zu kennen, Risiken zu erkennen und umgehend Maßnahmen zur Behebung von Schwachstellen und zur Sicherstellung der Compliance zu ergreifen, ohne den Geschäftsbetrieb zu beeinträchtigen.
Um mehr darüber zu erfahren, wie Sie Kundendaten gemäß den FTC-Schutzregeln sichern können, Demo vereinbaren Heute.

