Защита личных данных клиента
Необходимые сведения о программе по борьбе с кражей личных данных
Как защитить личные данные клиента? Какие шаги по закону стоит предпринять, чтобы защитить информацию о клиенте?
Один из законов, который решает эту проблему: CFR Title 16, Chapter I, Subchapter F, Part 681 (или CFR 681 ). CFR – означает Code of Federal Regulations. CFRs исходят из федеральных законов. Положения, исходящие из законов, содержат инструкции, необходимые для обеспечения соблюдения закона, на котором они основаны.
CFR Title 16, Chapter I, Subchapter F, Part 681 не только требует от определенных учреждений внедрения программ по борьбе с кражей личных данных, но и устанавливает требования, которым должны соответствовать эти программы.
FTC, или Федеральная торговая комиссия (Federal Trade Commission), — это независимое агентство правительства США, ответственное за защиту прав потребителей и обеспечение честной конкуренции на рынке. Основанная в 1914 году, FTC занимается широким спектром задач:
- Защита прав потребителей: FTC борется с обманом, мошенничеством и другими нечестными бизнес-практиками, которые могут причинить вред потребителям.
- Поддержка честной конкуренции: Агентство предотвращает монополизацию и регулирует слияния и поглощения компаний, чтобы сохранить конкуренцию на рынке.
- Обеспечение конфиденциальности данных: FTC защищает личные данные и конфиденциальность потребителей, особенно в интернете и сфере цифровых технологий.
FTC активно расследует случаи нарушения законов и, при необходимости, обращается в суды для взыскания штрафов и возмещения ущерба пострадавшим потребителям.
Поскольку кража персональных данных является огромной проблемой, это правило требует от многих организаций внедрения письменного плана, который призван:
- Выявить тревожные сигналы кражи личных данных, характерные для данной организации.
- Подробно описать шаги, которые необходимо предпринять, чтобы остановить кражу личных данных.
- Уменьшить ущерб от любой кражи личных данных
Создание этой программы также называется Правилом Красных Флагов. Обнаружение и прекращение кражи личных данных до ее начала является большим приоритетом для FTC.
Что такое красные флаги по FTC?
Красные флаги – это подозрительные закономерности или практики, или конкретные действия, которые указывают на возможность кражи личных данных. Например: если владелец счета должен предъявить удостоверение личности для открытия счета, то удостоверение личности, которое выглядит поддельным, является красным флагом для вашей организации.
CFR 681 – правила кражи личных данных и применяется к финансовым учреждениям и кредиторам, которые подлежат административному обеспечению FCRA Федеральной торговой комиссией. Это положение применяется к финансовым организациям, на которых распространяется Закон о добросовестной кредитной отчетности (FCRA). FCRA направлен на защиту персонально идентифицируемой информации людей (PII). Каждый раз, когда ипотечному учреждению необходимо получить биографическую информацию клиента, его финансовое положение, статус занятости, номер социального страхования или другую персональную информацию, оно должно соблюдать правила, изложенные в FCRA.
Правило красных флажков:
Правило «красных флажков» гласит, что программа предотвращения кражи персональных данных должна быть оформлена в письменном виде и включать четыре других основных элемента:
- Он должен включать «разумные политики и процедуры» для выявления признаков кражи личных данных.
- Она должна быть разработана так, чтобы она могла обнаруживать элементы, которые идентифицируются как красные флаги. Таким образом, если поддельные удостоверения личности идентифицируются как красный флаг, программа должна включать процедуры, которые могут обнаруживать возможные поддельные или измененные удостоверения личности.
- В нем должны быть подробно описаны конкретные шаги, которые будут предприняты для предотвращения и минимизации последствий кражи персональных данных в случае обнаружения тревожных сигналов.
- В нем должна быть подробно описана процедура, которая будет использоваться для поддержания актуальности программы, чтобы она могла реагировать на новые виды кражи личных данных.
Также правило «красных флагов» требует от организаций объяснить, как программа будет включена в их повседневные бизнес-задачи. Поскольку некоторые компании являются крупными и сложными и сталкиваются со многими потенциальными красными флагами, а другие — меньше и сталкиваются только с минимальным риском, правило «красных флагов» является гибким. Оно позволяет каждой организации разрабатывать план по борьбе с кражей личных данных, который соответствует ее конкретным потребностям.
Этапы (FTC, Приложение A CFR 681)
В приложении A CFR 681, FTC содержится более подробная информация о том, как создавать и внедрять письменные программы.
Шаг первый: Выявление тревожных сигналов
Финансовые учреждения должны определить свои соответствующие красные флаги. Они различны для каждого учреждения, но приложение предлагает рассмотреть следующие факторы:
- Виды счетов, которые обслуживают или предлагают;
- Как эти счета открываются и как к ним осуществляется доступ;
- Прошлый опыт кражи личных данных
Некоторые защищенные счета более уязвимы для кражи личных данных, чем другие, особенно если существует мало мер безопасности, которые владельцы счетов должны соблюдать при открытии или доступе к этим счетам. И крайне важно, чтобы учреждения, предлагающие защищенные счета, извлекли уроки из прошлых случаев кражи личных данных: как они происходили? Что можно было сделать, чтобы предотвратить их?
Финансовые учреждения и кредиторы должны включать в свои программы «соответствующие красные флажки» из следующих источников:
- Случаи кражи личных данных в прошлом;
- Методы кражи личных данных, которые являются относительно новыми и «отражают изменения в рисках кражи личных данных»;
- «Применимые надзорные указания» (т. е. советы или рекомендации от их наблюдательных советов)
Им также следует рассмотреть следующие категории возможных тревожных сигналов:
- Оповещения от агентств по работе с потребителями, таких как службы обнаружения мошенничества;
- Представление «подозрительных документов» и подозрительной личной информации;
- Необычная активность, связанная с защищенным счетом;
- Уведомления от клиентов или жертв кражи личных данных или от правоохранительных органов
Необходимо рассмотреть все возможные места расположения красных флажков, которые могут сигнализировать о краже личных данных. Очевидно, что если учреждение уже сталкивалось с кражей личных данных, оно должно определить соответствующие красные флажки, чтобы иметь возможность распознать их в следующий раз. И поскольку методы кражи личных данных постоянно меняются, закон предписывает этим учреждениям оставаться в курсе этих новых методов.
Шаг второй: Обнаружение тревожных сигналов
Приложение A к CFR 681 гласит, что ваша программа по борьбе с кражей персональных данных должна «решать проблему обнаружения тревожных сигналов в связи с охваченными счетами». Для достижения этой цели предлагаются следующие шаги:
- Используйте проверенные процедуры для установления личности владельца счета (подробно описаны в CFR 103.121).
- Аутентификация владельцев счетов, проверка изменений адреса и мониторинг транзакций по всем охваченным счетам.
Шаг третий: Предотвращение и минимизация кражи личных данных
Как только компания разработает элементы идентификации и обнаружения красных флажков, настает время подумать о соответствующих ответах при обнаружении этих красных флажков. В приложении рекомендуется, чтобы эти ответы были «соразмерны степени риска». Существуют ли факторы, которые повышают риск кражи личных данных, такие как недавнее нарушение безопасности данных?
Закон не предписывает конкретных мер реагирования на эти или другие инциденты кражи личных данных, но он предоставляет список соответствующих мер реагирования. Они включают:
- Мониторинг охваченных счетов;
- Связь с владельцем счета;
- Изменение паролей или кодов безопасности, дающих доступ к защищенным счетам;
- Закрытие потенциально скомпрометированной учетной записи;
- Уведомление правоохранительных органов
Финансовые учреждения должны решить, какие из этих мер реагирования подходят для их бизнеса и какие из них наиболее эффективны для предотвращения и минимизации последствий кражи персональных данных.
Шаг четвертый: Поддержание актуальности программы
Чтобы обеспечить эффективность программ по борьбе с кражей личных данных, компании должны иметь в своих программах процесс поддержания актуальности программы. Красные флажки могут потерять актуальность или могут появиться новые. Риски для владельцев счетов могут измениться. Поэтому для поддержания актуальности своих программ закон предлагает учитывать следующие факторы:
- Прошлый опыт кражи личных данных;
- Любые изменения в методах кражи личных данных;
- Изменения в способах обнаружения или предотвращения кражи личных данных;
- Изменения в типах счетов — предлагает ли учреждение какие-либо новые?
- Изменения в деловых отношениях финансового учреждения (слияния, альянсы, совместные предприятия и т. д.)
Кроме того, закон определяет, как должна администрироваться программа. Она должна контролироваться советом директоров или кем-то из высшего руководства, который должен:
- Назначить ответственных за реализацию;
- Просмотреть отчеты о соответствии;
- При необходимости утвердить изменения в программе.
Отчеты должны формироваться не реже одного раза в год и представляться высшему руководству. Эти отчеты должны включать вопросы, связанные с программой, и оценку ее эффективности.
Что такое застрахованный счет?
CFR 681 призывает финансовые учреждения и кредиторов защищать любые открытые счета которые они предлагают. Согласно 681.1 (b)(3), застрахованный счет — это тот, который кредитор предлагает и поддерживает, и который используется в основном для домашнего хозяйства или личного пользования и допускает множественные транзакции. .
Примеры застрахованных счетов включают в себя:
- Счета кредитных карт;
- Ипотечные кредиты;
- Автокредиты;
- Маржинальные счета;
- Счета сотовых телефонов;
- Проверка счетов;
- Сберегательные счета
Финансовые учреждения должны контролировать эти защищенные счета на предмет случаев кражи личных данных. Закон определяет, что финансовое учреждение должно периодически определять, предлагает ли оно или поддерживает ли оно защищенные счета, и должно учитывать, как эти счета открываются и кто к ним получают доступ. Они также должны учитывать свой предыдущий опыт кражи личных данных.
Программы по борьбе с кражей личных данных
CFR 681.1 призывает финансовые учреждения, предлагающие защищенные счета, создать программы по борьбе с кражей личных данных. Эти программы должны быть разработаны, внедрены и записаны. Они должны быть разработаны для обнаружения, предотвращения и смягчения кражи личных данных, которая может произойти при открытии или доступе к защищенному счету. Кроме того, эти программы должны соответствовать размеру и сложности финансового учреждения или кредитора, а также характеру и масштабу его деятельности.
Программы по борьбе с кражей личных данных должны включать процедуры, позволяющие:
- Определите «красные флажки», которые сигнализируют о возможной краже личных данных, для всех счетов учреждения, на которые распространяется действие программы.
- Выявите эти красные флажки.
- Реагировать на них соответствующим образом, таким образом, чтобы предотвратить кражу личных данных.
- Время от времени обновляйте программу и красные флажки, чтобы отражать изменения в рисках для клиентов и для самого учреждения.
Каждое финансовое учреждение также должны обеспечить постоянное администрирование своих программ по борьбе с кражами, что означает, что они должны:
- Получить одобрение программы от совета директоров.
- Привлекать совет директоров или соответствующее высшее руководство к разработке и администрированию программы.
- Обучать персонал по вопросам реализации программы.
- Обеспечить соответствующий надзор.
Что нужно делать владельцам карт при смене адреса? Клиент изменил адрес?
Множество возможностей для кражи личных данных возникает, когда владельцы карт меняют свои адреса, § 681.2 фокусируется на том, как минимизировать этот риск.
Эмитенты карт должны иметь политику, гарантирующую законность уведомления об изменении адреса. И в течение 30 дней после получения такого уведомления они должны следить за запросами на дополнительные или заменяющие карты. Учреждения не могут выпускать дополнительные или заменяющие карты в таких обстоятельствах, пока они не сделают следующее:
- Уведомите держателя карты о данном запросе и отправьте уведомление на прежний адрес держателя карты или с помощью любого другого средства связи, которым он пользовался ранее.
- Предоставьте держателю карты возможность немедленно сообщить о некорректном изменении адреса или иным образом убедиться в обоснованности запроса на изменение адреса.
Эти учреждения должны проверить изменение адреса до того, как получат запрос на дополнительную карту. И любые уведомления, которые предоставляет учреждение, должны быть «ясными и заметными» и не должны быть объединены с какой-либо другой корреспонденцией.
Закон строго оотносится к защителичных данных клиента. Иски по поводу кражи личных данных наносят колосальный ущерб компаниям. Страховки от киберпреступлений покрывают ущерб клиенту и организацию защиты от будущих краж.
Для консультации нажмите здесь