Norma de salvaguardias de la Ley Gramm-Leach-Bliley

Contactar con un experto

Volver a todos los casos de uso

GLBA y gestión de riesgos de terceros

Las Normas para la protección de la información de los clientes, también conocidas como16 CFR Parte 314, son una normativa emitida por la Comisión Federal de Comercio (FTC) de los Estados Unidos que implementa disposiciones clave introducidas en laLey Gramm-Leach-Bliley (GLBA). La normativa describe las normas que deben seguir las instituciones financieras para proteger la seguridad, la confidencialidad y la integridad de la información personal no pública (NPI) de los clientes.

Dado que la ley exige a los proveedores de servicios o afiliados (como terceros) mantener un programa de seguridad de la información que proteja los datos de los clientes, los equipos de gestión de riesgos de terceros deben conocer las disposiciones de la Norma de Salvaguardias y estar preparados para informar sobre sus controles.

Requisitos pertinentes

  • Identificar y evaluar los riesgos para la información de los clientes en cada área operativa.

  • Asegúrese de que los proveedores de servicios (por ejemplo, terceros) mantengan las medidas de seguridad adecuadas para la información de los clientes; exija a los proveedores de servicios por contrato que implementen y mantengan medidas de seguridad.

  • Diseñar e implementar medidas de protección para controlar los riesgos identificados; probar y supervisar periódicamente las medidas de protección.

  • Ajuste el programa basándose en los resultados de las evaluaciones de riesgos continuas, la supervisión y los cambios en las operaciones o la estructura.

Adapte su programa de gestión de riesgos laborales a la creciente normativa sobre ESG

Descargue esta guía para revisar las normas y la legislación actuales y futuras en materia de ESG, y aprenda cómo preparar su programa de TPRM para el cumplimiento normativo.

Leer ahora

Cumplimiento de los requisitos de la GLBA en materia de gestión del riesgo de capital

La tabla siguiente examina las disposiciones clave relacionadas con los proveedores de servicios externos que figuran en la Norma de Salvaguardias y muestra las capacidades de laPlataforma de Gestión de Riesgos de Terceros Prevalentepara cumplir con los requisitos.

NOTA: Esta tabla incluye disposiciones seleccionadas de la sección GLBA 314.4. Para un examen completo de los requisitos, revise laRegla de Salvaguardias completacon su equipo de auditoría interna o auditor externo.

16 CFR Parte 314 Normas para la protección de la información de los clientes
Regla de salvaguardias Capacidades predominantes
(f) Supervisar a los proveedores de servicios, mediante:
(1)Tomar medidas razonables para seleccionar y contratar proveedores de servicios que sean capaces de mantener las medidas de seguridad adecuadas para la información del cliente en cuestión;

Prevalent centraliza y automatiza la distribución, comparación y gestión desolicitudes de propuestas (RFP) y solicitudes de información (RFI).

Con esta capacidad, puede examinar los riesgos de un posible proveedor de servicios externo, incluidos los riesgos comerciales, operativos, reputacionales, financieros y de violaciones de datos previas, para informar y añadir contexto alas decisiones de selección de tercerosy garantizar que el proveedor de servicios seleccionado cumpla no solo con los requisitos técnicos, sino también con los umbrales de riesgo aceptables.

Prevalent traslada automáticamente a los terceros seleccionados a la fase de contratación para iniciar un proceso de diligencia debida más exhaustivo.
(2)Exigir a sus proveedores de servicios mediante contrato que implementen y mantengan dichas medidas de seguridad;

Prevalent centraliza la distribución, discusión, retención y revisión de los contratos con proveedores de servicios externos para garantizar que las disposiciones contractuales clave se incluyan y se apliquen a lo largo de todo el ciclo de vida del tercero.

Entre sus principales funciones figuran:

  • Seguimiento centralizado de todos los contratos y atributos de los contratos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
  • Perfilado de documentos basado en IA que permite la extracción de disposiciones clave para el seguimiento automatizado.
  • Funcionalidades de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
  • Discusión centralizada de contratos y seguimiento de comentarios.
  • Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
  • Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Al igual que en el punto (1) anterior, Prevalent incluye flujos de trabajo automatizados que llevan a los proveedores contratados a pasos adicionales de diligencia debida, según corresponda.
(3)Evaluar periódicamente a sus proveedores de servicios en función del riesgo que representan y la idoneidad continua de sus medidas de seguridad. La plataforma TPRM Prevalent cuenta con una amplia biblioteca de plantillas prediseñadas para evaluaciones de riesgos de tercerosLas evaluaciones pueden realizarse en el momento de la incorporación, la renovación del contrato o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente), dependiendo de los cambios significativos que se produzcan en la relación.
Las principales capacidades de evaluación de la seguridad y la privacidad de los datos de la plataforma incluyen:

  • Evaluaciones programadas y mapeo de relaciones para revelar dónde existen los datos personales, dónde se comparten y quién tiene acceso a ellos, todo ello resumido en un registro de riesgos que destaca las exposiciones críticas.
  • Evaluaciones del impacto sobre la privacidad para descubrir datos empresariales en riesgo e información de identificación personal (PII).
  • Mapeo de riesgos y respuestas a los controles. Incluye calificaciones de cumplimiento porcentual e informes específicos para cada parte interesada.

Las evaluaciones se gestionan de forma centralizada y están respaldadas por un flujo de trabajo, la gestión de tareas y funciones automatizadas de revisión de pruebas para garantizar que su equipo tenga visibilidad de los riesgos de terceros a lo largo de todo el ciclo de vida de la relación.

Y lo que es más importante, Prevalent incluye recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos para garantizar que sus terceros abordan los riesgos de forma oportuna y satisfactoria y pueden proporcionar las pruebas adecuadas a los auditores.

Como parte de este proceso, Prevalent realiza un seguimiento y análisis continuos delas amenazas externas a terceros. Prevalent supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.