Safetica Blogs

GLBA: Rozsah, účel a jak dosáhnout souladu

Written by Sample HubSpot User | 11.9.2023 8:15:00

Vítejte v komplexním prozkoumání zákona Gramm-Leach-Bliley Act (GLBA) – strážce soukromí spotřebitelů a zabezpečení dat ve finančním sektoru ve Spojených státech. Pochopením jeho zákoutí a zavedením jeho požadavků mohou finanční instituce budovat důvěru zákazníků a zajistit důvěrnost jejich neveřejných osobních údajů.


Pojďme se ponořit do jádra GLBA a prozkoumat jeho tři klíčové součásti: účel, rozsah a způsob, jak organizace mohou zajistit soulad a zároveň posílit svou ochranu dat.

 

Co je GLBA?

GLBA, přijatý v roce 1999, je federální zákon, jehož cílem je posílit soukromí spotřebitelů a zabezpečení dat u finančních institucí. Jeho hlavním zaměřením je ochrana neveřejných osobních údajů (NPI) držených finančními institucemi.

GLBA tvoří tři hlavní oddíly. Zde jsou jejich stručné popisy (s příklady):

  1. Pravidlo o finančním soukromí (Financial Privacy Rule): Toto pravidlo se týká transparentnosti a poskytuje jednotlivcům kontrolu nad jejich finančními informacemi. Finanční instituce, na které se GLBA vztahuje, musí zákazníkům poskytovat jasná oznámení o ochraně soukromí, ve kterých vysvětlí, jaké údaje shromažďují, jak je používají a s kým je sdílí. Zákazníci mají také právo odmítnout sdílení svých informací s nepřidruženými třetími stranami. Zde je příklad pro ilustraci:
Zákazník si v bance otevřel účet. V rámci tohoto procesu mu banka předá jasné oznámení vysvětlující, jaké informace o něm bude shromažďovat, např. jméno, adresu a podrobnosti o transakcích. Také mu sdělí, jak je bude využívat (například pro zpracování transakcí a prevenci podvodů). A co je nejdůležitější, banka zákazníkovi sdělí, jak může odmítnout sdílení svých informací s třetími stranami.
  1. Pravidlo o ochranných opatřeních (Safeguards Rule): Toto pravidlo je jako bezpečnostní stráž pro osobní údaje shromažďované finančními institucemi. Nařizuje organizacím spadajícím pod GLBA, aby zavedly komplexní procesy zabezpečení dat, které chrání NPI před neoprávněným přístupem. Pravidlo zdůrazňuje význam plánů kontinuity podnikání a obnovy po havárii pro řešení úniků dat. Vezměme si tento příklad:
Řekněme, že jste úvěrové družstvo, které spravuje velké množství dat zákazníků. Pravidlo o ochranných opatřeních říká, že musíte vytvořit bezpečnostní plán. To může zahrnovat použití šifrování pro zajištění toho, že k datům mají přístup pouze oprávněné osoby, nastavení silných hesel a kontrol přístupu a školení vašich zaměstnanců, jak rozpoznat a zabránit únikům dat. Také budete potřebovat jasný plán obnovy, který lze v případě potřeby okamžitě uvést do praxe.
  1. Ustanovení o pretextingu (Pretexting Provisions): Pretexting, forma sociálního inženýrství, spočívá v tom, že jednotlivci jsou prostřednictvím vymyšlených příběhů přiměni odhalit cenné informace. GLBA zakazuje finančním institucím využívat nebo umožňovat pretexting k získání zákaznických dat. Musí také aktivně podnikat kroky k jeho prevenci, jako je školení zaměstnanců a důkladné ověřování každého, kdo o informace žádá. Podívejme se na příklad pretextingu:
Představme si scénář, kdy se kybernetický zločinec zaměří na malé úvěrové družstvo. Zločinec si udělá průzkum a zjistí, že úvěrové družstvo nedávno prošlo upgradem systému. Vyzbrojen těmito informacemi zavolá na zákaznickou linku družstva a vydává se za zástupce technické podpory z týmu pro upgrade systému, přičemž tvrdí, že potřebuje ověřit některé údaje účtu, aby se ujistil, že upgrade proběhl v pořádku. Zločinec požaduje různé údaje o zákaznících, jako jsou celá jména, čísla účtů a dokonce i čísla sociálního pojištění. S nashromážděnými daty získá zločinec přístup k zákaznickým účtům a začne provádět neoprávněné transakce.

Ustanovení o pretextingu v rámci GLBA výslovně zakazují použití pretextingu k získání přístupu k zákaznickým informacím držených finančními institucemi, jako tomu bylo v uvedeném příkladu. Zaměstnanci úvěrového družstva jsou povinni dodržovat přísné postupy při manipulaci s daty zákazníků, včetně ověřování totožnosti osob požadujících citlivé informace.

 

Spotřebitelé vs. zákazníci: Jaký je rozdíl?

V rámci GLBA existuje rozdíl mezi spotřebiteli a zákazníky. Zákazníci, na rozdíl od spotřebitelů, udržují s finanční institucí trvalý vztah.

Řekněme, že Jana žádá o kreditní kartu od Banky A. Protože vyhledává finanční službu od banky, ale nemá s ní žádný trvalý vztah nad rámec této žádosti, je považována za spotřebitele.

Jakmile je Janě kreditní karta od Banky A schválena, začne ji používat k transakcím. Prostřednictvím tohoto účtu kreditní karty si vytvořila s bankou trvalý vztah. V tomto případě se Jana stává zákazníkem, protože má s institucí trvalý vztah.

Nebo to řekněme takto: Zatímco všichni zákazníci jsou spotřebiteli, ne všichni spotřebitelé se stávají zákazníky, pokud si s finanční institucí nezaloží trvalejší a bližší vztah. Není překvapivé, že na zákazníky se vztahují přísnější požadavky na ochranu osobních údajů. Například pouze zákazníci mají automaticky nárok na práva na odhlášení (opt-out), zatímco spotřebitelé mají toto právo pouze za určitých okolností.

 

Rozsah GLBA: Na koho se vztahuje?

GLBA pokrývá širokou škálu finančních institucí a subjektů, které buď působí v USA, nebo mají zákazníky v USA. Zahrnuje řadu finančních institucí, jako jsou:

  • banky a úvěrová družstva
  • hypoteční makléři
  • pojišťovny
  • obchodníci s cennými papíry
  • investiční poradci
  • poskytovatelé hypoték a hypoteční makléři
  • daňoví poradci
  • úvěrové registry (consumer reporting agencies)
 

Účel GLBA: Soukromí, bezpečnost a důvěra

V této digitální době, kdy jsou finanční transakce prováděny online a osobní informace jsou neuvěřitelně cenným aktivem, vyniká GLBA jako ochránce dat a soukromí ve Spojených státech. Každá z klíčových součástí GLBA hraje zásadní roli při zajišťování toho, aby finanční instituce zacházely s osobními údaji s péčí.

Poslání GLBA je jasné: chránit a posilovat jednotlivce, posílit postupy zabezpečení dat ve finančních institucích a zajistit integritu finančního průmyslu.

Posílení soukromí spotřebitelů

V jádru GLBA dává jednotlivcům pravomoc rozhodovat o tom, jak jsou jejich osobní údaje shromažďovány a využívány finančními institucemi. Pravidlo o finančním soukromí říká, že tyto společnosti musí jednotlivcům poskytovat jasné informace o ochraně soukromí, sdělit jim, jak jsou jejich data využívána, a umožnit jim říci „ne, děkuji" sdílení s ostatními.

To dává jednotlivcům možnost udržovat si určitou míru kontroly nad svými osobními údaji, což podporuje důvěru v instituce, které jejich informace uchovávají.

Posílení zabezpečení dat

Kromě soukromí klade GLBA velký důraz na ochranu bezpečnosti a integrity neveřejných osobních údajů. Pravidlo o ochranných opatřeních zajišťuje, že finanční instituce vytvářejí spolehlivé bezpečnostní plány pro NPI. To znamená používat silná opatření, jako je šifrování, kontroly přístupu a školení, aby se zastavily kybernetické hrozby a úniky dat, které by mohly ohrozit důvěrnost osobních údajů.

Podpora důvěry spotřebitelů

Stanovením jasných pravidel pro ochranu dat a soukromí má GLBA za cíl podpořit důvěru spotřebitelů ve finanční průmysl. Když jednotlivci svěřují své osobní a finanční informace institucím, činí tak s očekáváním, že s jejich daty bude zacházeno odpovědně a bezpečně. Předpisy a ochranná opatření GLBA poskytují rámec nezbytný k vytvoření této důvěry, což spotřebitelům umožňuje provádět finanční transakce s klidem v duši.

 

Jak dosáhnout souladu s předpisem GLBA

Soulad s GLBA vyžaduje strategický přístup. Zde je krok za krokem, který vaší organizaci pomůže zorientovat se na cestě k souladu:

Krok 1: Identifikujte a chraňte NPI

  • Identifikujte všechny NPI ve vaší organizaci.
  • Zaveďte kontroly přístupu pro omezení přístupu zaměstnanců k NPI na základě jejich pracovních povinností. Zvažte přístup Zero Trust, který je přesně tím, jak zní: nikomu se nedůvěřuje s přístupem, dokud to není prokázáno jako nezbytné.
  • Šifrujte NPI při přenosu i ukládání, abyste zabránili neoprávněnému přístupu.

Krok 2: Vypracujte komplexní bezpečnostní zásady

  • Vytvořte písemný bezpečnostní plán, který podrobně popisuje, jak vaše instituce chrání NPI. Sledování mezinárodního standardu ISO 27001 je spolehlivý způsob, jak vybudovat účinný systém řízení bezpečnosti informací.
  • Jmenujte osobu nebo tým odpovědný za dohled nad bezpečnostním programem.
  • Provádějte pravidelné posouzení rizik k identifikaci slabých míst a zmírnění potenciálních hrozeb.

Krok 3: Poskytujte oznámení o ochraně soukromí a možnosti odhlášení

  • Vypracujte jasná a stručná oznámení o ochraně soukromí, která zákazníky informují o postupech sdílení informací vaší instituce.
  • Umožněte zákazníkům odmítnout sdílení svých NPI s nepřidruženými třetími stranami.
  • Zaveďte proces, který zaručí včasné vyřízení žádostí zákazníků o odhlášení.

Krok 4: Školte zaměstnance

  • Poskytujte komplexní školení zaměstnanců o požadavcích GLBA, postupech zabezpečení dat a důležitosti soukromí zákazníků.
  • Pravidelně informujte zaměstnance o nově se objevujících hrozbách a osvědčených postupech ochrany dat.

Krok 5: Pravidelně sledujte a aktualizujte procesy

  • Provádějte průběžné sledování účinnosti vašeho bezpečnostního programu a podle potřeby jej upravujte.
  • Buďte informováni o změnách regulatorních požadavků a oborových standardů, které by mohly ovlivnit vaši organizaci.
 

Vymáhání a sankce GLBA

Pokud jde o GLBA, dodržování není jen doporučení – je to nutnost. Finanční instituce, které tyto předpisy neberou vážně, by se mohly dostat do potíží.

GLBA si nedělá legraci, pokud jde o pokuty. Pokud finanční instituce poruší jeho předpisy, mohou být pokuty značné. Za každé porušení může být společnost pokutována až 100 000 USD. A to není vše – jednotlivcům odpovědným za nedodržení předpisů, jako jsou pracovníci společnosti nebo členové představenstva, může být uložena pokuta až 10 000 USD za každé porušení. Představte si, že byste dostali účet v této výši, protože vaše organizace nedodržela pravidla!

A nejde jen o peníze – nedodržení může vést také k právním problémům. Tito jednotlivci, kterým byly uloženy pokuty, mohou také čelit až 5 letům vězení za svůj podíl na nedodržování GLBA.

Pro finanční instituce přísné dodržování GLBA dokazuje, že berou zabezpečení dat vážně a že jsou odhodlány chránit osobní informace. Pokud jste tedy finanční institucí, pamatujte, že dodržování GLBA není jen o vyhýbání se pokutám – je to o ochraně vaší pověsti a klidu v duši vašich zákazníků.

 

Role Safetica v dodržování GLBA

Safetica software pro prevenci úniku dat (DLP), jako je Safetica, nabízí robustní, ale snadno použitelné řešení pro finanční instituce, které usilují o soulad s GLBA. Zde je, jak může být Safetica vaším důvěryhodným spojencem v ochraně dat:

  • Ochrana citlivých dat: Safetica identifikuje a sleduje NPI ve vaší organizaci a zabraňuje neoprávněnému přístupu, sdílení nebo úniku.
  • Analýza chování uživatelů: Safetica se nezaměřuje pouze na data v klidu; sleduje také, jak jsou data využívána. Analýzou vzorců chování uživatelů dokáže identifikovat neobvyklé nebo rizikové aktivity, které by mohly ohrozit NPI.
  • Šifrování a kontroly přístupu: Safetica zajišťuje, že NPI jsou šifrovány při přenosu i ukládání, zatímco kontroly přístupu omezují vystavení dat pouze oprávněným pracovníkům.
  • Reakce na incidenty: Safetica vás v reálném čase upozorní na jakýkoli podezřelý pohyb dat nebo neoprávněný přístup, což umožňuje rychlou reakci na incidenty a předchází potenciálním únikům.
S DLP řešením Safetica mohou finanční instituce posílit zabezpečení dat, zmírnit rizika ochrany soukromí, udržet soulad s GLBA a chránit soukromí osobních údajů jednotlivců. Je to win-win-win!
View full post