Safetica > Resources > GLBA: o âmbito, o propósito e como cumprir

GLBA: o âmbito, o propósito e como cumprir

set 11, 2023

Bem-vindo a uma exploração abrangente da Gramm-Leach-Bliley Act (GLBA) — guardiã da privacidade dos consumidores e da segurança de dados no setor financeiro nos Estados Unidos. Ao compreender as suas particularidades e ao implementar os seus requisitos, as instituições financeiras podem construir confiança com os clientes e garantir a confidencialidade da informação pessoal não pública destes.


Vamos mergulhar no cerne da GLBA, explorando os seus três componentes essenciais: o seu propósito, âmbito e como as organizações podem garantir a conformidade enquanto reforçam as suas defesas de dados.

 

O que é a GLBA?

A GLBA, promulgada em 1999, é uma lei federal que visa reforçar a privacidade dos consumidores e a segurança de dados nas instituições financeiras. O seu foco principal é salvaguardar a non-public personal information (NPI) detida pelas instituições financeiras.

GLBA1

Três secções principais compõem a GLBA. Eis as suas breves descrições (com exemplos):

  1. Financial Privacy Rule: esta regra trata da transparência e de dar aos indivíduos controlo sobre a sua informação financeira. As instituições financeiras abrangidas pela GLBA têm de fornecer avisos de privacidade claros aos clientes, explicando que dados são recolhidos, como são utilizados e com quem são partilhados. Os clientes também têm o direito de optar por não partilhar a sua informação com terceiros não afiliados. Eis um exemplo para detalhar:
Um cliente abriu uma conta num banco. Como parte do processo, o banco entrega ao cliente um aviso claro a explicar que informação irá recolher dele, como o nome, a morada e os detalhes das transações. Também lhe diz como a vai utilizar (como para processar transações e prevenir fraude). E, mais importante, o banco informa o cliente como pode optar por não permitir que a sua informação seja partilhada com terceiros.
  1. Safeguards Rule: esta regra é como um guarda de segurança para os dados pessoais recolhidos pelas instituições financeiras. Determina que as organizações abrangidas pelo âmbito da GLBA implementem processos abrangentes de segurança de dados que protejam a NPI contra acessos não autorizados. A regra dá ênfase à importância dos planos de continuidade de negócio e de recuperação de desastres para fazer face a violações de dados. Veja este exemplo:
Imaginemos que é uma cooperativa de crédito que trata de muitos dados de clientes. A Safeguards Rule diz que precisa de criar um plano de segurança. Isto pode envolver utilizar encriptação para garantir que apenas pessoas autorizadas podem aceder aos dados, definir palavras-passe fortes e controlos de acesso e formar os seus colaboradores sobre como detetar e prevenir violações de dados. Também terá de ter um plano de recuperação claro que possa ser ativado de imediato, se necessário.
  1. Pretexting Provisions: o pretexting, uma forma de engenharia social, envolve enganar indivíduos para que revelem informação valiosa através de histórias inventadas. A GLBA torna ilegal que as instituições financeiras utilizem ou permitam o pretexting para obter dados de clientes. Têm também de tomar medidas ativas para o prevenir, como formação dos colaboradores e verificação rigorosa de qualquer pessoa que solicite informação. Vejamos um exemplo de pretexting:
Imagine um cenário em que um cibercriminoso visa uma pequena cooperativa de crédito. O criminoso faz alguma pesquisa e descobre que a cooperativa de crédito sofreu recentemente uma atualização de sistemas. Munido desta informação, o criminoso liga para a linha de apoio ao cliente da cooperativa de crédito, fazendo-se passar por um representante de suporte técnico da equipa de atualização de sistemas, explicando que precisa de verificar alguns detalhes da conta para garantir que a atualização correu bem. O criminoso solicita várias informações do cliente, como nomes completos, números de conta e até números de segurança social. Com os dados recolhidos, o criminoso obtém acesso às contas dos clientes e inicia transações não autorizadas.

As Pretexting Provisions da GLBA proíbem explicitamente o uso de pretexting para obter acesso à informação dos clientes detida pelas instituições financeiras, como no caso do exemplo. Os colaboradores da cooperativa de crédito são obrigados a seguir procedimentos rigorosos ao tratar dados de clientes, incluindo verificar a identidade dos indivíduos que solicitam informação sensível.

 

Consumidores vs. clientes: qual é a diferença?

Existe uma distinção entre consumidores e clientes na GLBA. Os clientes, ao contrário dos consumidores, mantêm relações contínuas com uma instituição financeira.

Digamos que a Joana se candidata a um cartão de crédito do Banco A. Como está a procurar um serviço financeiro do banco, mas não tem uma relação contínua com este para além desta candidatura, é considerada uma consumidora.

Quando a Joana é aprovada para o cartão de crédito do Banco A, começa a utilizá-lo para transações. Estabeleceu uma relação contínua com o banco através desta conta de cartão de crédito. Neste caso, a Joana torna-se cliente porque tem uma relação continuada com a instituição.

Ou, dito de outra forma: embora todos os clientes sejam consumidores, nem todos os consumidores se tornam clientes a menos que estabeleçam uma relação mais duradoura e mais próxima com uma instituição financeira. Não surpreende que se apliquem requisitos de privacidade de dados mais rigorosos aos clientes. Por exemplo, apenas os clientes têm automaticamente direito a optar por não participar, enquanto os consumidores apenas obtêm esse direito em circunstâncias específicas.

 

O âmbito da GLBA: a quem se aplica?

A GLBA lança uma rede ampla sobre várias instituições financeiras e entidades que operam nos EUA ou que têm clientes nos EUA. Abrange uma diversidade de instituições financeiras, como:

  • bancos e cooperativas de crédito
  • mediadores hipotecários
  • seguradoras
  • sociedades de valores mobiliários
  • consultores de investimento
  • credores e mediadores hipotecários
  • preparadores fiscais
  • agências de informação ao consumidor
 

O propósito da GLBA: privacidade, segurança e confiança

Nesta era digital em que as transações financeiras são feitas online e a informação pessoal é um ativo extraordinariamente valioso, a GLBA destaca-se como protetora dos dados e da privacidade nos Estados Unidos. Cada um dos componentes chave da GLBA desempenha um papel crucial para garantir que as instituições financeiras tratam os dados pessoais com cuidado.

A missão da GLBA é clara: proteger e capacitar os indivíduos, reforçar as práticas de segurança de dados das instituições financeiras e garantir a integridade da indústria financeira.

Reforçar a privacidade dos consumidores

No seu cerne, a GLBA dá aos indivíduos o poder de decidir como a sua informação pessoal é recolhida e utilizada pelas instituições financeiras. A Financial Privacy Rule diz que estas empresas têm de fornecer informação de privacidade clara aos indivíduos, dizendo-lhes como os seus dados estão a ser utilizados e permitindo-lhes dizer “não, obrigado” à partilha com outros.

Isto capacita os indivíduos a manter um nível de controlo sobre os seus dados pessoais, fomentando a confiança nas instituições que detêm a sua informação.

Reforçar a segurança de dados

Para além da privacidade, a GLBA dá grande ênfase à salvaguarda da segurança e integridade da informação pessoal não pública. A Safeguards Rule garante que as instituições financeiras criam planos de segurança sólidos para a NPI. Isto significa utilizar medidas fortes como encriptação, controlos de acesso e formação para travar ciberameaças e violações de dados que possam comprometer a confidencialidade dos dados pessoais.

Fomentar a confiança do consumidor

Ao estabelecer diretrizes claras para a proteção de dados e a privacidade, a GLBA pretende fomentar a confiança do consumidor na indústria financeira. Quando os indivíduos confiam a sua informação pessoal e financeira às instituições, fazem-no com a expectativa de que os seus dados serão tratados de forma responsável e segura. Os regulamentos e salvaguardas da GLBA fornecem o framework necessário para incutir essa confiança, permitindo aos consumidores realizar transações financeiras com tranquilidade.

 

Como cumprir o regulamento GLBA

Cumprir a GLBA exige uma abordagem estratégica. Eis um esquema passo a passo para ajudar a sua organização a navegar no percurso de conformidade:

Passo 1: identifique e proteja a NPI

  • Identifique toda a NPI dentro da sua organização.
  • Implemente controlos de acesso para limitar o acesso dos colaboradores à NPI com base nas responsabilidades do cargo. Considere a abordagem Zero Trust, que é exatamente o que parece: ninguém é considerado de confiança para obter acesso até que seja provado necessário.
  • Encripte a NPI durante a transmissão e o armazenamento para evitar acessos não autorizados.

Passo 2: desenvolva uma política de segurança abrangente

  • Crie um plano de segurança escrito que detalhe como a sua instituição salvaguarda a NPI. Seguir a norma internacional ISO 27001 é uma forma segura de construir um sistema eficaz de gestão da segurança da informação.
  • Designe um indivíduo ou equipa responsável pela supervisão do programa de segurança.
  • Realize avaliações de risco regulares para identificar vulnerabilidades e mitigar potenciais ameaças.

Passo 3: forneça avisos de privacidade e opt-outs

  • Desenvolva avisos de privacidade claros e concisos que informem os clientes sobre as práticas de partilha de informação da sua instituição.
  • Permita aos clientes optar por não partilhar a sua NPI com terceiros não afiliados.
  • Implemente um processo para honrar atempadamente os pedidos de opt-out dos clientes.

Passo 4: forme os colaboradores

  • Forneça formação abrangente aos colaboradores sobre os requisitos da GLBA, as práticas de segurança de dados e a importância da privacidade do cliente.
  • Atualize regularmente os colaboradores sobre ameaças emergentes e as melhores práticas para a proteção de dados.

Passo 5: monitorize e atualize processos regularmente

  • Realize uma monitorização contínua da eficácia do seu programa de segurança e ajuste-o conforme necessário.
  • Mantenha-se informado sobre alterações aos requisitos regulamentares e às normas da indústria que possam impactar a sua organização.
 

Aplicação e sanções da GLBA

Quando se trata da GLBA, a conformidade não é apenas uma sugestão — é uma obrigação. As instituições financeiras que não levam estes regulamentos a sério podem ver-se em apuros.

A GLBA não brinca em serviço quando se trata de coimas. Se uma instituição financeira violar os seus regulamentos, as sanções podem ser pesadas. Por cada violação, uma empresa pode ser multada em até 100 000 USD. E não é só isso — os indivíduos que são responsáveis pela falta de conformidade, como dirigentes da empresa ou membros do conselho de administração, podem ser multados em até 10 000 USD por cada violação. Imagine receber uma fatura desse valor porque a sua organização não seguiu as regras!

E não se trata apenas do dinheiro — a falta de conformidade também pode levar a problemas legais. Esses indivíduos que foram multados também podem enfrentar até 5 anos de prisão pela sua parte na falta de cumprimento da GLBA.

Para as instituições financeiras, a estrita adesão à GLBA mostra que levam a sério a segurança de dados e que estão dedicadas a manter a informação pessoal a salvo. Por isso, se é uma instituição financeira, lembre-se de que cumprir a GLBA não é apenas uma forma de evitar coimas — é uma forma de salvaguardar a sua reputação e a tranquilidade dos seus clientes.

 

O papel da Safetica na conformidade com a GLBA

O software de Data Loss Prevention (DLP) da Safetica, como a Safetica, oferece uma solução robusta mas fácil de utilizar para instituições financeiras que se esforçam por cumprir a GLBA. Eis como a Safetica pode ser a sua aliada de confiança na proteção de dados:

  • Proteção de dados sensíveis: a Safetica identifica e monitoriza a NPI em toda a sua organização, prevenindo acessos, partilhas ou fugas não autorizadas.
  • Análise do comportamento do utilizador: a Safetica não se foca apenas nos dados em repouso; também está atenta a como os dados estão a ser utilizados. Ao analisar padrões de comportamento dos utilizadores, consegue identificar atividades invulgares ou de risco que possam colocar a NPI em risco.
  • Encriptação e controlos de acesso: a Safetica garante que a NPI é encriptada durante a transmissão e o armazenamento, enquanto os controlos de acesso limitam a exposição dos dados apenas a pessoal autorizado.
  • Resposta a incidentes: a Safetica alerta-o em tempo real para qualquer movimento de dados suspeito ou acesso não autorizado, permitindo uma resposta rápida a incidentes e prevenindo potenciais violações.
Com as soluções DLP da Safetica, as instituições financeiras podem reforçar a sua segurança de dados, mitigar riscos de privacidade, manter a conformidade com a GLBA e salvaguardar a privacidade da informação pessoal dos indivíduos. É vantajoso para todos!

Similar posts