Règle de la FTC sur les garanties : date limite de mise en conformité le 9 juin

Jun 9, 2023
Share

La Federal Trade Commission (FTC) a fixé au 9 juin la date limite pour que les institutions financières se conforment à la nouvelle règle de la FTC sur les garanties, les obligeant à mettre en place des mesures pour protéger les informations des clients.

Tout au long de la très courte histoire d'Internet, les pirates informatiques ont révélé bien plus encore. enregistrements de données qu'il n'y a d'étoiles dans notre galaxie… ou dans 10, voire 100 galaxies. Ainsi, fin 1999, alors que les gouvernements commençaient à prendre conscience de l'ampleur et de la gravité des menaces pesant sur les systèmes de données critiques qui sous-tendent presque tous les piliers de la société occidentale, le Congrès américain a promulgué la loi suivante : Loi Gramm-Leach-BlileyCette loi visait à réorganiser la réglementation des services financiers et, de ce fait, a remodelé l'ensemble du secteur financier.

Avancez jusqu'au 9 juin 2023 et vous découvrirez de nouvelles dispositions (publiées en 2021). de la FTC Des mesures entreront en vigueur, élargissant la définition et le champ d'application des systèmes, organisations, processus et procédures concernés. Les commissions et experts en cybersécurité espèrent que ces changements, que nous détaillerons ci-dessous, renforceront les pratiques existantes en matière de sécurité de l'information des clients et permettront à un plus grand nombre d'organisations d'adopter des approches pertinentes fondées sur les risques.

Il est important de noter que le respect de ces exigences n'est pas facultatif pour le secteur des services financiers ni pour les entreprises de traitement de données financières qui y sont liées.

Qui a influencé les données ?

Une institution financière est toute entreprise qui, parmi ses activités principales, gère des devises, a des responsabilités fiduciaires, tient des registres commerciaux, traite des informations financières de ses clients et participe à de nombreux autres aspects du commerce et du système fiscal américains (bien qu'il existe certaines exceptions). exceptions qui impliquent certaines obligations de déclaration d'un plan de gestion de la sécurité de l'information pour les entreprises comptant moins de 5 000 clients).

La mise à jour 2021/23 étend la règle des banques et des courtiers aux entreprises qui ne sont généralement pas considérées comme telles. institutions financières, tels que les concessionnaires automobiles et les préparateurs de véhicules. La règle inclut également ceux qui fournissent relations entre acheteurs et vendeurs sur une plateforme ou un marché ouvert qui traite les transactions pour le compte de tiers. De plus en plus, fintechs font l'objet d'un examen minutieux de la FTC. Par conséquent, votre entreprise pourrait figurer sur cette liste.

Toutefois, le simple fait d'utiliser de l'argent ne vous soumet pas à la GLBA et à la règle de sauvegarde de la FTC — par exemple, un petit commerçant qui ne dispose pas de son propre système de demande de crédit — et ne serait donc pas tenu responsable du poids considérable du contrôle réglementaire. Néanmoins, l'adoption de certains aspects de cette stratégie plus rigoureuse vous serait profitable, notamment en améliorant la résilience et la capacité de redressement de votre entreprise.

Que devez-vous faire ?

La plupart des moyennes et grandes entreprises qui souhaitent gagner la confiance de leurs clients et partenaires s'y prennent en se conformant de manière proactive aux obligations réglementaires. Celles-ci incluent des normes de sécurité de l'information (infosec) à large portée telles que SOC I/II et ISO 27001et des régimes spécifiques à l'industrie tels que PCI et la FINRA.

Cet écosystème exige généralement une approche globale pour garantir la CIA (confidentialité, intégrité et disponibilité) des données et de l'infrastructure. Les entreprises soumises à la règle GLBA-Safeguards doivent mettre en œuvre des programmes de gestion de la sécurité de l'information, formalisés par un plan écrit et définis en fonction de la nature, de la portée et du niveau de sensibilité des données traitées.

Vous devrez comprendre et contrer les menaces connues et émergentes pesant sur les systèmes et les réseaux, protéger les données détenues ou traitées (bases de données ou transactions individuelles, par exemple) et documenter votre capacité à rendre compte des accès aux données et de leur utilisation, entre autres. Ce plan doit être revu et mis à jour régulièrement, les employés et les sous-traitants doivent être formés à ses principes et exigences, et des règles de sécurité et une surveillance continues doivent être mises en place.

À quoi ressemble un système de gestion de la sécurité de l'information (SGSI) raisonnable ?

Un système ou plan de gestion de la sécurité de l'information (SGSI) définit les politiques, les procédures opérationnelles standard, les paramètres des données, le contrôle d'accès, la journalisation et les paramètres connexes nécessaires à la conformité à un audit conforme aux normes du secteur. Cependant, l'exhaustivité du programme SGSI dépend de multiples facteurs, notamment la taille de l'entreprise, la sensibilité des données, les profils de risque et les évaluations des menaces. Compte tenu de la définition large de ce qu'est un établissement financier selon la FTC (Federal Financial Trade Commission), vous devrez, le cas échéant, élaborer, mettre en œuvre et maintenir un programme de sécurité de l'information.

En tant qu'organisation ou équipe dirigeante, votre seuil minimal de tolérance au risque doit être équilibré afin de ne pas nuire indûment à vos intérêts commerciaux. À l'instar d'une évaluation préalable à un audit ISO, vous devriez établir un référentiel de sécurité de l'information que tous approuveront. Ce référentiel définira les coûts opérationnels, les ressources humaines, les risques juridiques et d'autres considérations importantes ayant un impact direct sur votre conformité réglementaire.

Les tâches à accomplir pour se conformer à la réglementation se répartissent en « domaines » qui contiennent des « contrôles » destinés à vous guider dans la gestion de la sécurité des données, et peuvent s'avérer très efficaces si vous :

  • Désignez une personne qualifiée pour mettre en œuvre et superviser le programme de sécurité de l'information de votre entreprise.
  • effectuer une évaluation des risques
  • Concevoir et mettre en œuvre des mesures de protection pour maîtriser les risques identifiés lors de votre évaluation des risques
  • Surveillez et testez régulièrement l'efficacité de vos mesures de protection.
  • former votre personnel
  • Surveillez vos fournisseurs de services
  • Maintenez votre programme de sécurité de l'information à jour.
  • élaborer un plan de réponse aux incidents écrit
  • exiger que votre personne qualifiée fasse rapport à votre conseil d'administration

Il est également important d'examiner les prérequis de ce programme. Vous devez comprendre la valeur, l'emplacement, la sensibilité, les cas d'utilisation, l'horizon temporel, les utilisateurs, les propriétaires et les autres identifiants d'actifs des données qui devront être collectés et analysés de manière sécurisée et appropriée.

Conclusion

Bien que cette loi actualisée puisse complexifier la situation de nombreuses entreprises qui n'étaient pas soumises à un contrôle réglementaire, elle est importante pour tous, et pas seulement pour les prestataires de services. Nous détenons tous des données sensibles auprès des institutions financières, parfois même à notre insu (rappelons-nous la fuite de données d'Equifax). Les lois protégeant ces informations constituent une garantie supplémentaire de sécurité ; l'application équitable de cette norme à tous les prestataires de services est bénéfique pour notre santé financière personnelle et pour l'économie en général.

Pour vous conformer aux règles de protection de la FTC, vous pouvez utiliser Cyera afin de renforcer votre programme de sécurité des données et d'obtenir une visibilité complète sur les informations de vos clients. Comprendre vos données est essentiel pour mettre en œuvre des contrôles efficaces. Avec Cyera, vous pouvez vous attendre à :

  • Inventaire de toutes les informations de vos clients
  • Signaler les violations de conformité aux informations client
  • Attribuer automatiquement un niveau de gravité aux expositions de données
  • Surveillez en permanence la surface d'attaque des données.
  • Identifier les utilisateurs accédant aux informations client
  • Vérifier l'état du chiffrement des informations client
  • Améliorer la segmentation des informations client dans des environnements sécurisés
  • Audit des accès et des autorisations aux informations client
  • Atténuer les risques grâce à des flux de travail automatisés

La plateforme de sécurité des données de Cyera fournit un contexte approfondi sur vos données, en appliquant des contrôles corrects et continus pour assurer la cyber-résilience et la conformité.

Cyera adopte une approche de sécurité centrée sur les données, évaluant l'exposition de vos données au repos et en cours d'utilisation et appliquant de multiples niveaux de défense. Grâce à une analyse approfondie et globale de votre environnement de données, Cyera est la seule solution permettant aux équipes de sécurité de localiser leurs données, d'identifier les risques et d'intervenir immédiatement pour y remédier et garantir la conformité, sans perturber l'activité.

Pour en savoir plus sur la manière de protéger les informations client conformément aux règles de protection de la FTC, planifier une démonstration aujourd'hui.

Share