Gramm-Leach-Bliley Act Schutzmaßnahmen-Regel

Kontakt zu einem Experten

Zurück zu allen Use Cases

GLBA und Risikomanagement für Drittparteien

Die Standards for Safeguarding Customer Information (Standards für den Schutz von Kundendaten), auch bekannt als 16 CFR Part 314, ist eine von der US Federal Trade Commission (FTC) erlassene Verordnung, die wichtige Bestimmungen des Gramm-Leach-Bliley Act (GLBA) umsetzt. Die Verordnung legt die Standards fest, die Finanzinstitute befolgen müssen, um die Sicherheit, Vertraulichkeit und Integrität von nicht-öffentlichen persönlichen Daten (NPI) von Kunden zu schützen.

Da das Gesetz von Dienstleistern oder verbundenen Unternehmen (z. B. Dritten) verlangt, ein Informationssicherheitsprogramm zum Schutz von Kundendaten zu unterhalten, sollten die Risikomanagement-Teams von Dritten die Bestimmungen der Safeguards Rule kennen und darauf vorbereitet sein, über ihre Kontrollen zu berichten.

Relevante Anforderungen

  • Identifizierung und Bewertung der Risiken für Kundendaten in jedem operativen Bereich.

  • Sicherstellen, dass Dienstleister (z. B. Dritte) angemessene Sicherheitsvorkehrungen für Kundendaten treffen; Dienstleister vertraglich verpflichten, Sicherheitsvorkehrungen zu treffen und aufrechtzuerhalten.

  • Konzeption und Umsetzung von Schutzmaßnahmen zur Kontrolle der ermittelten Risiken; regelmäßige Prüfung und Überwachung der Schutzmaßnahmen.

  • Passen Sie das Programm auf der Grundlage der Ergebnisse laufender Risikobewertungen, Überwachungen und Änderungen der Abläufe oder Strukturen an.

Richten Sie Ihr TPRM-Programm an den wachsenden ESG-Vorschriften aus

Laden Sie diesen Leitfaden herunter, um sich einen Überblick über aktuelle und künftige ESG-Normen und -Gesetze zu verschaffen und zu erfahren, wie Sie Ihr TPRM-Programm auf die Einhaltung der Vorschriften vorbereiten können.

Jetzt lesen

Erfüllung der GLBA TPRM-Anforderungen

In der folgenden Tabelle werden die wichtigsten Bestimmungen der Safeguards Rule im Zusammenhang mit Drittanbietern untersucht und die Funktionen der Prevalent Third-Party Risk Management Platform zur Erfüllung dieser Anforderungen dargestellt.

HINWEIS: Diese Tabelle enthält ausgewählte Bestimmungen in Abschnitt GLBA 314.4. Für eine vollständige Prüfung der Anforderungen lesen Sie bitte die vollständige Safeguards Rule mit Ihrem internen Prüfungsteam oder externen Prüfer.

16 CFR Teil 314 Standards für den Schutz von Kundeninformationen
Regel für Schutzmaßnahmen Vorherrschende Fähigkeiten
(f) Beaufsichtigung von Dienstleistern, indem:
(1) Ergreifung angemessener Maßnahmen zur Auswahl und Beibehaltung von Dienstleistern, die in der Lage sind, angemessene Sicherheitsvorkehrungen für die betreffenden Kundendaten zu treffen;

Prevalent zentralisiert und automatisiert die Verteilung, den Vergleich und die Verwaltung von Ausschreibungen (RFPs) und Informationsanfragen (RFIs).

Mit dieser Funktion können Sie die Risiken eines potenziellen Drittanbieters untersuchen - einschließlich geschäftlicher, betrieblicher, rufschädigender und finanzieller Risiken sowie früherer Datenschutzverletzungen -, um Entscheidungen über die Auswahl von Drittanbietern zu treffen und sicherzustellen, dass der ausgewählte Anbieter nicht nur die technischen Anforderungen erfüllt, sondern auch akzeptable Risikogrenzen einhält.

Prevalent schaltet dann automatisch ausgewählte Dritte in den Vertragssatz, um die weitere Due Diligence einzuleiten.
(2) Ihre Dienstleister vertraglich dazu zu verpflichten, solche Sicherheitsvorkehrungen zu treffen und aufrechtzuerhalten;

Prevalent zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Verträgen mit Drittanbietern, um sicherzustellen, dass die wichtigsten Vertragsbestimmungen während des gesamten Lebenszyklus der Drittanbieter enthalten sind und durchgesetzt werden.

Zu den wichtigsten Fähigkeiten gehören:

  • Zentrale Verfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten.
  • KI-basiertes Dokumentenprofiling, das die Extraktion von Schlüsselbestimmungen für die automatische Nachverfolgung ermöglicht.
  • Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung.
  • Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen.
  • Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren.
  • Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe.
  • Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt.
  • Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-, Schreib- und Änderungszugriff ermöglichen.

Wie bei (1) oben, beinhaltet Prevalent automatisierte Arbeitsabläufe, die vertraglich gebundene Anbieter in weitere Due-Diligence-Schritte überführen.
(3) Regelmäßige Bewertung Ihrer Dienstleister auf der Grundlage des von ihnen ausgehenden Risikos und der kontinuierlichen Angemessenheit ihrer Sicherheitsvorkehrungen. Die Prevalent TPRM Plattform verfügt über eine große Bibliothek von vorgefertigten Vorlagen für Risikobewertungen durch Dritte. Bewertungen können zum Zeitpunkt der Aufnahme der Geschäftsbeziehung, der Vertragsverlängerung oder in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durchgeführt werden, je nachdem, ob sich wesentliche Änderungen in der Geschäftsbeziehung ergeben.
Zu den wichtigsten Funktionen der Plattform zur Bewertung der Datensicherheit und des Datenschutzes gehören:

  • Planmäßige Bewertungen und Beziehungsanalysen, um zu ermitteln, wo personenbezogene Daten vorhanden sind, wo sie gemeinsam genutzt werden und wer Zugriff darauf hat - alles zusammengefasst in einem Risikoregister, das kritische Risiken aufzeigt.
  • Datenschutz-Folgenabschätzungen, um gefährdete Geschäftsdaten und persönlich identifizierbare Informationen (PII) aufzudecken.
  • Zuordnung von Risiken und Reaktionen zu Kontrollen. Enthält Bewertungen der prozentualen Einhaltung der Vorschriften und stakeholderspezifische Berichte.

Bewertungen werden zentral verwaltet und durch Arbeitsabläufe, Aufgabenmanagement und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt, um sicherzustellen, dass Ihr Team während des gesamten Beziehungslebenszyklus Einblick in die Risiken Dritter hat.

Wichtig ist, dass Prevalent integrierte Empfehlungen zur Abhilfe auf der Grundlage der Ergebnisse der Risikobewertung enthält, um sicherzustellen, dass Ihre Drittanbieter die Risiken rechtzeitig und zufriedenstellend angehen und den Prüfern die entsprechenden Nachweise vorlegen können.

Als Teil dieses Prozesses verfolgt und analysiert Prevalent kontinuierlich externe Bedrohungen für Dritte. Prevalent überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch Risikoprüfung, Berichterstattung und Reaktionsinitiativen rationalisiert werden.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.