Règle de sauvegarde de la loi Gramm-Leach-Bliley

GLBA et gestion des risques liés aux tiers

Les normes relatives à la protection des informations clients, également connues sous le nom de16 CFR Part 314, sont une réglementation émise par la Commission fédérale du commerce (FTC) des États-Unis qui met en œuvre les dispositions clés introduites dans laloi Gramm-Leach-Bliley (GLBA). Cette réglementation définit les normes que les institutions financières doivent respecter afin de protéger la sécurité, la confidentialité et l'intégrité des informations personnelles non publiques (NPI) de leurs clients.

Étant donné que la loi impose aux prestataires de services ou aux affiliés (tels que les tiers) de mettre en place un programme de sécurité de l'information qui protège les données des clients, les équipes de gestion des risques tiers doivent connaître les dispositions de la règle de protection et être prêtes à rendre compte de ses contrôles.

Exigences pertinentes

Identifier et évaluer les risques liés aux informations des clients dans chaque domaine opérationnel.
Veiller à ce que les prestataires de services (par exemple, les tiers) maintiennent des mesures de protection appropriées pour les informations relatives aux clients ; exiger contractuellement des prestataires de services qu'ils mettent en œuvre et maintiennent ces mesures de protection.
Concevoir et mettre en œuvre des mesures de protection pour contrôler les risques identifiés ; tester et surveiller régulièrement ces mesures.
Ajustez le programme en fonction des résultats des évaluations des risques continues, du suivi et des changements apportés aux opérations ou à la structure.

Alignez votre programme TPRM sur les réglementations ESG en pleine expansion

Téléchargez ce guide pour passer en revue les normes et la législation ESG actuelles et futures, et découvrez comment préparer votre programme TPRM à la conformité.

Respect des exigences GLBA TPRM

Le tableau ci-dessous examine les principales dispositions relatives aux prestataires de services tiers dans la règle de sauvegarde et répertorie les fonctionnalités de laplateforme de gestion des risques tiers courantspermettant de répondre à ces exigences.

REMARQUE : ce tableau comprend certaines dispositions de la section GLBA 314.4. Pour un examen complet des exigences, veuillez consulterl'intégralité de la règle de sécuritéavec votre équipe d'audit interne ou votre auditeur externe.

16 CFR Partie 314 Normes relatives à la protection des informations des clients

Règle de sauvegarde	Capacités courantes
(f) Superviser les prestataires de services, en :
(1)Prendre des mesures raisonnables pour sélectionner et retenir les prestataires de services capables de maintenir des mesures de protection appropriées pour les informations clients en question ;	Prevalent centralise et automatise la distribution, la comparaison et la gestion desappels d'offres (RFP) et des demandes d'informations (RFI). Grâce à cette fonctionnalité, vous pouvez examiner les risques potentiels liés à un prestataire de services tiers, notamment les risques commerciaux, opérationnels, financiers, liés à la réputation et aux violations de données antérieures, afin d'éclairer et de contextualiserles décisions de sélection des tierset de vous assurer que le prestataire de services sélectionné répond non seulement aux exigences techniques, mais aussi aux seuils de risque acceptables. Prevalent transfère alors automatiquement les tiers sélectionnés dans la phase contractuelle afin de lancer une diligence raisonnable plus approfondie.
(2)Exiger contractuellement de vos prestataires de services qu'ils mettent en œuvre et maintiennent ces mesures de protection ;	Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats des prestataires de services tiers afin de garantir que les dispositions contractuelles clés sont incluses et appliquées tout au long du cycle de vie des tiers. Les principales capacités sont les suivantes Suivi centralisé de tous les contrats et attributs contractuels tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles. Profilage de documents basé sur l'IA permettant l'extraction des dispositions clés pour un suivi automatisé. Des fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats. Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats. Discussion centralisée des contrats et suivi des commentaires. Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès. Suivi du contrôle des versions qui permet de modifier les contrats et les documents hors ligne. Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification. Comme dans le cas (1) ci-dessus, Prevalent comprend des flux de travail automatisés qui font passer les fournisseurs sous contrat à des étapes de diligence raisonnable supplémentaires, le cas échéant.
(3)Évaluer périodiquement vos prestataires de services en fonction du risque qu'ils présentent et de l'adéquation continue de leurs mesures de protection.	La plateforme TPRM Prevalent propose une vaste bibliothèque de modèles prédéfinis pour évaluations des risques liés aux tiersLes évaluations peuvent être réalisées lors de l'embauche, du renouvellement du contrat ou à toute fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants dans la relation. Les principales fonctionnalités d'évaluation de la sécurité et de la confidentialité des données de la plateforme comprennent : Évaluations programmées et cartographie des relations pour révéler où se trouvent les données personnelles, où elles sont partagées et qui y a accès – le tout résumé dans un registre des risques qui met en évidence les expositions critiques. Évaluations de l'impact sur la vie privée afin d'identifier les données commerciales à risque et les informations personnelles identifiables (PII). Cartographie des risques et des réponses aux contrôles. Comprend des notes de conformité en pourcentage et des rapports spécifiques aux parties prenantes. Les évaluations sont gérées de manière centralisée et s'appuient sur un flux de travail, une gestion des tâches et des capacités automatisées d'examen des preuves afin de garantir à votre équipe une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important de noter que Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs. Dans le cadre de ce processus, Prevalent suit et analyse en permanenceles menaces externes pesant sur des tiers. Prevalent surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.