Die Standards for Safeguarding Customer Information (Standards für den Schutz von Kundendaten), auch bekannt als 16 CFR Part 314, ist eine von der US Federal Trade Commission (FTC) erlassene Verordnung, die wichtige Bestimmungen des Gramm-Leach-Bliley Act (GLBA) umsetzt. Die Vorschrift legt die Standards fest, die Finanzinstitute befolgen müssen, um die Sicherheit, Vertraulichkeit und Integrität von nicht-öffentlichen persönlichen Kundeninformationen (NPI) zu schützen.
Da das Gesetz von Dienstleistern oder verbundenen Unternehmen (z. B. Dritten) verlangt, ein Informationssicherheitsprogramm zu unterhalten, das Ihre Kundendaten schützt, sollten die Risikomanagement-Teams von Dritten die Bestimmungen der Safeguards Rule kennen und darauf vorbereitet sein, über ihre Kontrollen zu berichten.
In diesem Beitrag werden die wichtigsten Bestimmungen der GLBA Safeguards Rule untersucht und Best Practices empfohlen, um sicherzustellen, dass Drittanbieter die Sicherheit, Vertraulichkeit und Integrität der Kundendaten Ihres Unternehmens wahren.
Die GLBA-Schutzklausel und das Risikomanagement von Drittanbietern
Die GLBA Safeguards Rule gilt für alle Finanzinstitute, die der Zuständigkeit der FTC unterliegen. Sie soll sicherstellen, dass diese Institute über solide Systeme zum Schutz von Kundendaten verfügen. Im Rahmen der Regel müssen Finanzinstitute ein umfassendes schriftliches Informationssicherheitsprogramm entwickeln, umsetzen und aufrechterhalten. Das Programm muss der Größe und Komplexität des Instituts sowie dem Umfang der sensiblen Kundendaten, mit denen es umgeht, angemessen sein. Darüber hinaus müssen die Finanzinstitute einen oder mehrere Mitarbeiter benennen, die ihr Informationssicherheitsprogramm koordinieren, auch in Zusammenarbeit mit externen Dienstleistern. Die Nichteinhaltung der Standards kann zu Strafen und Korrekturmaßnahmen führen.
Im Allgemeinen verlangt die Safeguards Rule, dass Informationssicherheitsprogramme die folgenden Elemente enthalten müssen:
Risikobewertung
Finanzinstitute müssen die Risiken für Kundendaten in jedem
für Kundeninformationen in jedem relevanten Bereich ihrer Geschäftstätigkeit identifizieren und bewerten. Sie müssen die Wirksamkeit der derzeitigen Sicherheitsvorkehrungen zur Kontrolle dieser Risiken bewerten.
Gestaltung und Umsetzung von Schutzmaßnahmen
Auf der Grundlage der Risikobewertung müssen die Finanzinstitute Schutzmaßnahmen zur Kontrolle der ermittelten Risiken entwickeln und umsetzen. Diese Schutzmaßnahmen sollten regelmäßig getestet und überwacht werden, um ihre Wirksamkeit zu gewährleisten.
Beaufsichtigung von Dienstleistern
Finanzinstitute müssen angemessene Maßnahmen ergreifen, um sicherzustellen, dass ihre Dienstleister (z. B. Dritte) angemessene Sicherheitsvorkehrungen für Kundendaten treffen. Dazu gehört auch, dass die Dienstleister vertraglich verpflichtet werden, solche Sicherheitsvorkehrungen zu treffen und aufrechtzuerhalten.
Einstellen des Programms
Das Informationssicherheitsprogramm sollte auf der Grundlage der Ergebnisse der laufenden Risikobewertungen, der Überwachung und der Änderungen der Geschäftsabläufe oder der Struktur der Einrichtung angepasst werden.
Die wichtigsten Bestimmungen zum Risikomanagement für Dritte in der Schutzklausel
Gemäß Abschnitt 314.3 sind Finanzinstitute verpflichtet, "ein umfassendes Informationssicherheitsprogramm zu entwickeln, umzusetzen und aufrechtzuerhalten, das in einem oder mehreren leicht zugänglichen Teilen verfasst ist und administrative, technische und physische Schutzmaßnahmen enthält, die Ihrer Größe und Komplexität, der Art und dem Umfang Ihrer Aktivitäten sowie der Sensibilität der betreffenden Kundendaten angemessen sind".
Die Ziele des Programms sind:
- "die Sicherheit und Vertraulichkeit von Kundendaten zu gewährleisten";
- Schutz vor allen zu erwartenden Bedrohungen oder Gefahren für die Sicherheit oder Integrität dieser Informationen; und
- Schutz vor unbefugtem Zugriff auf oder Gebrauch von solchen Informationen, die zu erheblichem Schaden oder Unannehmlichkeiten für einen Kunden führen könnten".
In der nachstehenden Tabelle werden die wichtigsten Bestimmungen der Safeguards Rule im Zusammenhang mit Drittanbietern untersucht und bewährte Verfahren zur Erfüllung der Anforderungen vorgeschlagen.
HINWEIS: Diese Tabelle enthält ausgewählte Bestimmungen in Abschnitt 314.4. Für eine vollständige Prüfung der Anforderungen lesen Sie bitte die vollständige Safeguards Rule mit Ihrem internen Audit-Team oder externen Prüfer.
| 16 CFR Teil 314 Standards für den Schutz von Kundeninformationen | |
|---|---|
| Regel für Schutzmaßnahmen | Bewährte Praktiken |
| (f) Beaufsichtigung von Dienstleistern, indem: | |
| (1) Ergreifung angemessener Maßnahmen zur Auswahl und Beibehaltung von Dienstleistern, die in der Lage sind, angemessene Sicherheitsvorkehrungen für die betreffenden Kundendaten zu treffen; | Zentralisieren und automatisieren Sie die Verteilung, den Vergleich und die Verwaltung von Aufforderungen zur Einreichung von Vorschlägen (RFP) und Aufforderungen zur Einreichung von Informationen (RFI).
Prüfen Sie die Risiken eines potenziellen Drittanbieters - einschließlich geschäftlicher, betrieblicher, rufschädigender und finanzieller Risiken sowie früherer Datenschutzverletzungen -, um Entscheidungen über die Auswahl von Drittanbietern zu treffen und sicherzustellen, dass der ausgewählte Anbieter nicht nur die technischen Anforderungen erfüllt, sondern auch akzeptable Risikogrenzen einhält. Eine umfassende Plattform für das Risikomanagement von Drittanbietern (TPRM) wird dann automatisch eine ausgewählte Drittpartei in den Vertragstext aufnehmen und eine weitere Due-Diligence-Prüfung einleiten. |
| (2) Ihre Dienstleister vertraglich dazu zu verpflichten, solche Sicherheitsvorkehrungen zu treffen und aufrechtzuerhalten; | Zentralisierung der Verteilung, Diskussion, Aufbewahrung und Überprüfung von Verträge mit Drittanbietern um sicherzustellen, dass die wichtigsten Vertragsbestimmungen während des gesamten Lebenszyklus des Dritten enthalten sind und durchgesetzt werden.
Zu den wichtigsten Funktionen einer Lösung für das Management des Vertragslebenszyklus sollten gehören: * Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten. Wie bei (1) oben, beinhaltet Prevalent automatisierte Arbeitsabläufe, die vertraglich gebundene Anbieter in weitere Due-Diligence-Schritte überführen. |
| (3) Regelmäßige Bewertung Ihrer Dienstleister auf der Grundlage des von ihnen ausgehenden Risikos und der kontinuierlichen Angemessenheit ihrer Sicherheitsvorkehrungen. | Suchen Sie nach einer Lösung, die über eine große Bibliothek mit vorgefertigten Vorlagen für Risikobewertungen durch Dritte]. Die Bewertungen sollten bei der Aufnahme von Lieferanten, bei der Erneuerung von Verträgen oder bei wesentlichen Änderungen in der Geschäftsbeziehung in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durchgeführt werden. Zu den wichtigsten Funktionen für die Bewertung der Datensicherheit und des Datenschutzes sollten gehören:* Planmäßige Bewertungen und die Zuordnung von Beziehungen, um aufzuzeigen, wo personenbezogene Daten vorhanden sind, wo sie gemeinsam genutzt werden und wer Zugriff darauf hat - all dies wird in einem Risikoregister zusammengefasst, das kritische Risiken aufzeigt. * Datenschutz-Folgenabschätzungen zur Aufdeckung gefährdeter Geschäftsdaten und personenbezogener Daten. * Zuordnung von Risiken und Reaktionen zu Kontrollen. Bewertungen sollten zentral verwaltet werden und durch Arbeitsabläufe, Aufgabenmanagement und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt werden, um sicherzustellen, dass Ihr Team während des gesamten Beziehungslebenszyklus Einblick in die Risiken Dritter hat. Wichtig ist, dass eine TPRM-Lösung integrierte Empfehlungen für Abhilfemaßnahmen auf der Grundlage von Risikobewertungsergebnissen enthält, um sicherzustellen, dass Ihre Drittparteien die Risiken rechtzeitig und in zufriedenstellender Weise angehen und den Prüfern die entsprechenden Nachweise vorlegen können. Verfolgen und analysieren Sie im Rahmen dieses Prozesses kontinuierlich externe Bedrohungen für Dritte]. Überwachen Sie das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen. Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung und Reaktionsinitiativen zu rationalisieren. |
Wie Prevalent helfen kann, die Anforderungen der GLBA Safeguards Rule zu erfüllen
Die Prevalent Third-Party Risk Management (TPRM)-Plattform automatisiert die kritischen Aufgaben, die zur Bewertung, Überwachung und Verwaltung von Drittanbietern im Hinblick auf Sicherheit, Datenschutz und andere kritische Risiken erforderlich sind. Die Prevalent-Plattform ermöglicht es den Risikoteams für Drittanbieter, zentral zu arbeiten:
- Automatisieren Sie die Suche nach Drittanbietern, die Auswahl und das Onboarding von Dienstleistern mit integrierten Risikoanalysen und -bewertungen.
- Erstellung von Profilen, Einstufung und Bewertung inhärenter und verbleibender Risiken, um Drittanbieter auf der Grundlage ihrer Kritikalität genau zu kategorisieren und zusätzliche Sorgfaltsprüfungen vorzuschreiben.
- Bewertung von Drittanbietern anhand von mehr als 750 Risikobewertungsvorlagen für verschiedene Risikobereiche mit integrierter KI-gesteuerter automatischer Ausfüllung von Fragebögen, Arbeitsabläufen, Aufgaben- und Beweismanagement sowie Empfehlungen für Abhilfemaßnahmen.
- Kontinuierliche Überwachung der Cyber-, Geschäfts-, Reputations- und Finanzrisiken von Drittanbietern, um Kontrollen anhand der Bewertungsergebnisse zu validieren und Lücken zwischen den regelmäßigen Bewertungen zu schließen.
- Erfüllen Sie komplexe regulatorische Berichtsanforderungen mit KI und maschinellen Lernanalysen, die Ergebnisse aus verschiedenen Quellen normalisieren und korrelieren.
Diese Verordnung ist für die Aufrechterhaltung des Vertrauens zwischen den Finanzinstituten und ihren Kunden von entscheidender Bedeutung, da sie sicherstellt, dass persönliche und finanzielle Informationen angemessen vor unbefugtem Zugriff und Verstößen geschützt sind. Angesichts der Tatsache, dass 61 % der Unternehmen im letzten Jahr eine Datenverletzung durch Dritte oder einen Sicherheitsvorfall gemeldet haben, müssen Finanzinstitute angemessene Vorkehrungen treffen, um sicherzustellen, dass Drittanbieter ihre Kundendaten schützen.
Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihnen helfen kann, die Anforderungen der GLBA Safeguards Rule an Drittdienstleister zu verstehen, fordern Sie noch heute eine Demonstration an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
