Prazo final para cumprimento da Regra de Salvaguardas da FTC: 9 de junho

A Comissão Federal de Comércio (FTC, na sigla em inglês) estabeleceu o dia 9 de junho como prazo final para que as instituições financeiras cumpram a nova Regra de Salvaguardas da FTC, obrigando-as a implementar medidas para proteger as informações dos clientes.
Ao longo da curtíssima história da internet, os hackers expuseram mais registros de dados do que existem estrelas em nossa galáxia… ou 10, ou até mesmo 100 galáxias. Assim, no final de 1999, quando os governos começavam a compreender a amplitude e a profundidade das ameaças aos sistemas de dados críticos que sustentam quase todos os pilares da sociedade ocidental, o Congresso dos EUA promulgou a Lei Gramm-Leach-BlileyEssa lei buscou reorganizar a regulamentação dos serviços financeiros e, como resultado, remodelou todo o setor financeiro.
Avançando para 9 de junho de 2023, você encontrará novas disposições (publicadas em 2021). da FTC Entram em vigor normas que ampliam as definições e o escopo dos sistemas, organizações, processos e procedimentos impactados. Comissões e especialistas em cibersegurança esperam que essas mudanças, que abordaremos a seguir, reforcem as práticas de segurança da informação existentes dos clientes e permitam que mais organizações adotem abordagens significativas baseadas em riscos.
É importante ressaltar que o cumprimento desses requisitos não é opcional para o setor de serviços financeiros ou para os processadores de dados financeiros relacionados.
Quem teve impacto nos dados?
Uma instituição financeira é qualquer empresa que lida com moedas, tem responsabilidades fiduciárias, registros comerciais, informações financeiras de clientes e muitos outros aspectos do comércio e do sistema tributário americano como suas atividades principais (embora existam certas exceções). exceções que envolvem algumas obrigações de reporte de um plano de gestão de segurança da informação para empresas com menos de 5.000 clientes).
A atualização de 2021/23 amplia a regra, que antes abrangia apenas bancos e corretoras, para incluir empresas que normalmente não são consideradas como tal. instituições financeiras, como concessionárias de veículos e preparadores. A regra também inclui aqueles que fornecem conexões entre compradores e vendedores em uma bolsa ou plataforma aberta que processa transações em nome de terceiros. Cada vez mais, fintechs estão sob a fiscalização da FTC. Como resultado, sua empresa pode estar nesta lista.
No entanto, o simples uso de dinheiro não significa que você esteja sujeito à GLBA e à Regra de Salvaguardas da FTC — por exemplo, um pequeno varejista que não possui seu próprio sistema de solicitação de crédito — e, portanto, não estaria isento do peso da supervisão regulatória. Mesmo assim, você ainda se beneficiaria da adoção de algumas dessas estratégias mais rigorosas, por meio de maior resiliência e capacidade de recuperação de crédito.
O que você precisa fazer?
A maioria das empresas de médio e grande porte que desejam conquistar a confiança de clientes e parceiros o fazem cumprindo proativamente as exigências regulatórias. Isso inclui padrões abrangentes de segurança da informação (infosec), como SOC I/II e ISO 27001e regimes específicos da indústria, tais como PCI e a FINRA.
Esse ecossistema geralmente exige uma abordagem abrangente para manter a confidencialidade, integridade e disponibilidade (CIA) dos dados e da infraestrutura. As empresas abrangidas pela Regra de Salvaguardas da GLBA precisam implementar programas de gerenciamento de segurança da informação em um plano escrito, definido pela natureza, escopo e sensibilidade dos dados que manipulam.
Você precisará compreender e se defender contra ameaças conhecidas e emergentes a sistemas e redes, proteger dados armazenados ou processados (por exemplo, bancos de dados ou transações individuais) e documentar sua capacidade de gerar relatórios sobre o acesso e uso de dados — para citar apenas alguns exemplos. Este plano deve ser revisado e atualizado regularmente, os funcionários/contratados devem ser treinados em seus princípios e requisitos, e regras e monitoramento contínuos de segurança devem ser estabelecidos.
Qual é a aparência de um SGSI (Sistema de Gestão de Segurança da Informação) razoável?
Um sistema ou plano de gestão de segurança da informação (SGSI) define as políticas, os procedimentos operacionais padrão, os parâmetros de dados, o controle de acesso, o registro de logs e os parâmetros relacionados para atender aos padrões de auditoria do setor. No entanto, a abrangência do programa SGSI depende de diversos fatores, entre eles o porte da empresa, a sensibilidade dos dados, os perfis de risco e as avaliações de ameaças. Dada a ampla definição da FTC (Comissão Federal de Comércio dos EUA) sobre o que constitui uma instituição financeira, quando aplicável, será necessário desenvolver, implementar e manter um programa de segurança da informação.
Como organização ou equipe de liderança, seu nível mínimo de tolerância ao risco deve ser equilibrado para evitar prejuízos indevidos aos seus interesses comerciais. Assim como na realização de uma pré-avaliação para uma auditoria ISO, você deve construir uma base de segurança da informação que seja apoiada por todos. Isso definirá custos operacionais, recursos humanos, exposição legal e outras considerações importantes que impactam diretamente sua conformidade regulatória.
As tarefas para cumprir as regulamentações se dividem em “domínios” que contêm “controles” para orientá-lo na gestão da segurança de dados e podem ser bastante eficazes se você:
- Designe um profissional qualificado para implementar e supervisionar o programa de segurança da informação da sua empresa.
- realizar uma avaliação de risco
- Projetar e implementar medidas de segurança para controlar os riscos identificados por meio de sua avaliação de riscos.
- Monitore e teste regularmente a eficácia de suas medidas de segurança.
- Treine sua equipe
- Monitore seus provedores de serviços.
- Mantenha seu programa de segurança da informação atualizado.
- Criar um plano de resposta a incidentes por escrito.
- Exija que seu profissional qualificado apresente relatórios ao Conselho de Administração.
É importante também examinar os pré-requisitos para este programa. Você deve compreender o valor dos dados, sua localização, sensibilidade, casos de uso, horizonte temporal, usuários, proprietários e outros identificadores de ativos que precisarão ser coletados e analisados de forma segura e adequada.
Conclusão
Embora possa adicionar complexidade a muitas empresas que, de outra forma, não estariam sujeitas à supervisão regulatória, a lei atualizada é importante para todos, não apenas para os prestadores de serviços. Todos nós temos dados sensíveis em instituições financeiras, às vezes até mesmo sem saber (lembre-se da violação de dados da Equifax). Leis que protegem essas informações representam mais uma camada de segurança para nós; garantir a aplicação equitativa do padrão a todos os prestadores de serviços beneficia nossa saúde financeira pessoal e a da economia em geral.
Para cumprir as normas de proteção de dados da FTC, você pode usar o Cyera para fortalecer seu programa de segurança da informação e obter visibilidade das informações de seus clientes. Compreender seus dados é fundamental para implementar controles eficazes. Com o Cyera, você pode esperar:
- Faça um inventário de todas as informações dos seus clientes.
- Sinalizar violações de conformidade para informações do cliente
- Atribua automaticamente a gravidade às exposições de dados.
- Monitore continuamente a superfície de ataque aos dados.
- Identificar os usuários que acessam as informações do cliente.
- Auditar o estado de criptografia das informações do cliente.
- Aprimorar a segmentação das informações do cliente em ambientes seguros.
- Auditar o acesso e as permissões às informações do cliente.
- Remediar riscos por meio de fluxos de trabalho automatizados
A plataforma de segurança de dados da Cyera fornece um contexto profundo sobre seus dados, aplicando controles corretos e contínuos para garantir a resiliência cibernética e a conformidade.
A Cyera adota uma abordagem de segurança centrada em dados, avaliando a exposição dos seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto de dados profundo e holístico em todo o seu ambiente de dados, somos a única solução capaz de capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e a tomar medidas imediatas para remediar as exposições e garantir a conformidade sem interromper os negócios.
Para saber mais sobre como proteger as informações do cliente de acordo com as Regras de Salvaguarda da FTC, Agende uma demonstração hoje.

