Prazo de Conformidade da Regra de Salvaguardas da FTC em 9 de junho

A Comissão Federal de Comércio (FTC) estabeleceu 9 de junho como prazo final para que as instituições financeiras cumpram a nova Regra de Salvaguardas da FTC, obrigando-as a implementar medidas para proteger as informações dos clientes.

Ao longo da curtíssima história da Internet, hackers expuseram mais registros de dados do que existem estrelas em nossa galáxia… ou 10, ou até 100 galáxias. Então, no final de 1999, quando os governos começaram a entender a amplitude e a profundidade das ameaças aos sistemas críticos de dados que sustentam quase todos os pilares da sociedade ocidental, o Congresso dos EUA promulgou a Lei Gramm-Leach-Bliley. Esta lei buscou reorganizar a regulamentação dos serviços financeiros e, como resultado, remodelou toda a indústria financeira.

Avançando para 9 de junho de 2023, você encontrará novas disposições (publicadas em 2021) da FTC entrando em vigor que expandem as definições e o escopo de sistemas, organizações, processos e procedimentos impactados. Comissões de cibersegurança e especialistas esperam que essas mudanças, que abordaremos abaixo, reforcem as práticas existentes de segurança de informações do cliente e permitam que mais organizações adotem abordagens significativas baseadas em risco.

É importante observar que o cumprimento desses requisitos não é opcional para o setor de serviços financeiros ou processadores relacionados de dados financeiros.

Quem tem dados impactados?

Uma instituição financeira é qualquer empresa que lida com moedas, tem responsabilidades fiduciárias, registros comerciais, informações financeiras de clientes e muitos outros aspectos do comércio e sistema tributário dos Estados Unidos como suas atividades principais (embora existam certas exceções que envolvem algumas obrigações de relatório de um plano de gestão de segurança da informação para empresas com menos de 5.000 clientes).

A atualização de 2021/23 expande a regra de bancos e corretoras para incluir empresas que normalmente não são consideradas instituições financeiras, como concessionárias de automóveis e preparadores. A regra também adiciona aqueles que fornecem conexões entre compradores e vendedores em uma bolsa aberta ou plataforma que processa transações em nome de terceiros. Cada vez mais, as fintechs estão caindo sob o escrutínio da FTC. Como resultado, você pode encontrar sua empresa nesta lista.

No entanto, simplesmente usar dinheiro não significa que você está sujeito à GLBA e à Regra de Salvaguardas da FTC—por exemplo, um pequeno varejista que não possui seu próprio sistema de solicitação de crédito—e, portanto, não seria responsável pelo peso oneroso da supervisão regulatória. No entanto, você ainda se beneficiaria da adoção de parte dessa estratégia mais rigorosa por meio de maior resiliência e capacidade de recuperação dos negócios.

O que você precisa fazer?

A maioria das empresas de médio a grande porte que desejam ganhar a confiança de clientes e parceiros fazem isso ao cumprir proativamente os mandatos regulatórios. Isso inclui padrões de segurança da informação (infosec) de amplo alcance, como SOC I/II e ISO 27001, e regimes específicos do setor, como PCI e FINRA.

Este ecossistema geralmente requer uma abordagem abrangente para manter a CIA, ou confidencialidade, integridade e disponibilidade de dados e infraestrutura. As empresas cobertas pela Regra de Salvaguardas da GLBA precisam implementar programas de gerenciamento de segurança da informação em um plano escrito que seja definido pela natureza, escopo e sensibilidade dos dados que você manipula.

Você precisará entender e se defender contra ameaças conhecidas e emergentes a sistemas e redes, proteger dados armazenados ou processados (por exemplo, bancos de dados ou transações individuais) e documentar sua capacidade de relatar sobre acesso e uso de dados—para citar apenas alguns. Este plano deve ser revisado e atualizado regularmente, funcionários/contratados devem ser educados sobre seus princípios e requisitos, e regras de segurança e monitoramento contínuos devem ser estabelecidos.

Como é um SGSI razoável?

Um sistema de gestão de segurança da informação (SGSI) ou plano define as políticas, procedimentos operacionais padrão, parâmetros de dados, controle de acesso, registro e parâmetros relacionados para conformidade com uma auditoria de padrão da indústria. No entanto, a abrangência do programa SGSI depende de múltiplos fatores, entre eles o tamanho do negócio, sensibilidade dos dados, perfis de risco e avaliações de ameaças. Dada a definição ampla da FTC sobre o que constitui uma instituição financeira, quando aplicável, você precisará desenvolver, implementar e manter um programa de segurança da informação.

Como organização ou equipe de liderança, seu limite mínimo de tolerância a riscos deve ser equilibrado para evitar impedir indevidamente seus interesses comerciais. Assim como ao realizar uma pré-avaliação para uma auditoria ISO, você deve construir uma linha de base de segurança da informação que todos apoiarão. Isso definirá custos operacionais, recursos humanos, exposição legal e outras considerações importantes que impactam diretamente sua conformidade regulatória.

As tarefas para atender aos regulamentos se enquadram em "domínios" que contêm "controles" para orientá-lo no gerenciamento de segurança de dados e podem ser bastante eficazes se você:

• designar um indivíduo qualificado para implementar e supervisionar o programa de segurança da informação da sua empresa
• realizar uma avaliação de risco
• projetar e implementar salvaguardas para controlar os riscos identificados por meio de sua avaliação de riscos
• monitore e teste regularmente a eficácia de suas salvaguardas
• treine sua equipe
• monitore seus provedores de serviços
• mantenha seu programa de segurança da informação atualizado
• criar um plano de resposta a incidentes por escrito
• exigir que seu indivíduo qualificado se reporte ao seu Conselho de Administração

Também é importante examinar os pré-requisitos para este programa. Você deve compreender o valor dos dados, localização, sensibilidade, casos de uso, horizonte de tempo, usuários, proprietários e outros identificadores de ativos que precisarão ser coletados e analisados de forma segura e apropriada.

Conclusão

Embora adicione complexidade potencial a muitas empresas que antes não estavam sujeitas à supervisão regulatória, a lei atualizada é importante para todos, não apenas para os provedores de serviços. Todos nós temos dados sensíveis em instituições financeiras, às vezes até sem nosso conhecimento (lembre-se da violação da Equifax). Leis que protegem essas informações são outro nível de garantia de segurança para nós; fazer cumprir a aplicação equitativa do padrão em todos os provedores de serviços beneficia nossa saúde financeira pessoal e a da economia em geral.

Para cumprir as Regras de Proteção da FTC, você pode aproveitar a Cyera para fortalecer seu programa de segurança da informação de dados e obter visibilidade das informações de seus clientes. Obter uma compreensão de seus dados é a base para implementar controles eficazes. Com a Cyera, você pode esperar:

• Faça um inventário de todas as informações dos seus clientes
• Sinalizar violações de conformidade nas informações do cliente
• Atribuir automaticamente a gravidade às exposições de dados
• Monitore continuamente a superfície de ataque de dados
• Identificar os usuários que acessam informações de clientes
• Auditar o status de criptografia das informações do cliente
• Melhorar a segmentação de informações de clientes em ambientes seguros
• Auditar acesso e permissões às informações do cliente
• Corrija riscos por meio de fluxos de trabalho automatizados

A plataforma de segurança de dados da Cyera fornece contexto profundo sobre seus dados, aplicando controles corretos e contínuos para garantir resiliência cibernética e conformidade.

A Cyera adota uma abordagem centrada em dados para segurança, avaliando a exposição de seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto profundo de dados de forma holística em toda a sua paisagem de dados, somos a única solução que pode capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e tomar ações imediatas para remediar exposições e garantir a conformidade sem interromper os negócios.

Para saber mais sobre como você pode proteger as informações dos clientes de acordo com as Regras de Proteção da FTC, agende uma demonstração hoje.