Demandez une démo

La gestion des risques par des tiers et la règle des garanties de la loi Gramm-Leach-Bliley

Prenez en compte ces bonnes pratiques pour vous assurer que les fournisseurs de services tiers protègent correctement les données NPI de vos clients.
Par :
Scott Lang
,
VP, Marketing produit
04 septembre 2024
Partager :
2024 Blog Conformité GLBA

Les Standards for Safeguarding Customer Information, également connus sous le nom de 16 CFR Part 314, sont un règlement publié par la Federal Trade Commission (FTC) des États-Unis qui met en œuvre des dispositions clés introduites dans la Gramm-Leach-Bliley Act (GLBA). Ce règlement définit les normes que les institutions financières doivent respecter pour protéger la sécurité, la confidentialité et l'intégrité des informations personnelles non publiques (NPI) de leurs clients.

Étant donné que la loi oblige les fournisseurs de services ou les affiliés (tels que les tiers) à maintenir un programme de sécurité de l'information qui protège les données de vos clients, les équipes de gestion des risques des tiers doivent connaître les dispositions du Safeguards Rule et être prêtes à rendre compte de leurs contrôles.

Ce billet examine les principales dispositions de la GLBA Safeguards Rule et recommande les meilleures pratiques pour s'assurer que les fournisseurs de services tiers maintiennent la sécurité, la confidentialité et l'intégrité des données des clients de votre organisation.

La règle des garanties de la GLBA et la gestion des risques liés aux tiers

La GLBA Safeguards Rule s'applique à toutes les institutions financières relevant de la compétence de la FTC. Elle vise à garantir que ces institutions disposent de systèmes solides pour protéger les informations relatives aux clients. Dans le cadre de cette règle, les institutions financières sont tenues d'élaborer, de mettre en œuvre et de maintenir un programme écrit complet de sécurité de l'information. Ce programme doit être adapté à la taille de l'institution, à sa complexité et au niveau d'informations sensibles qu'elle traite. En outre, les institutions financières doivent désigner un ou plusieurs employés chargés de coordonner leur programme de sécurité de l'information, y compris avec les fournisseurs de services tiers. Le non-respect des normes peut entraîner des sanctions et des actions correctives.

D'une manière générale, le Safeguards Rule exige que les programmes de sécurité de l'information comprennent les éléments suivants :

Évaluation des risques

Les institutions financières doivent identifier et évaluer les risques pour les informations relatives aux clients dans chaque domaine pertinent de leurs activités. Elles doivent évaluer l'efficacité des mesures de protection actuellement en place pour contrôler ces risques.

Conception et mise en œuvre des garanties

Sur la base de l'évaluation des risques, les institutions financières doivent concevoir et mettre en œuvre des mesures de sauvegarde pour contrôler les risques identifiés. Ces mesures de protection doivent être testées et contrôlées régulièrement afin d'en garantir l'efficacité.

Supervision des prestataires de services

Les institutions financières doivent prendre des mesures raisonnables pour s'assurer que leurs prestataires de services (par exemple, des tiers) maintiennent des garanties appropriées pour les informations relatives aux clients. Elles peuvent notamment exiger par contrat que les prestataires de services mettent en œuvre et maintiennent de telles garanties.

Ajustement du programme

Le programme de sécurité de l'information doit être adapté en fonction des résultats des évaluations continues des risques, de la surveillance et des changements dans les activités ou la structure de l'institution.

Principales dispositions du règlement sur les garanties relatives à la gestion des risques par des tiers

Selon l'article 314.3, les institutions financières sont tenues "d'élaborer, de mettre en œuvre et de tenir à jour un programme complet de sécurité de l'information rédigé en une ou plusieurs parties facilement accessibles et contenant des mesures de protection administratives, techniques et physiques adaptées à leur taille et à leur complexité, à la nature et à l'étendue de leurs activités, ainsi qu'au caractère sensible des informations sur les clients concernées".

Les objectifs du programme sont les suivants

  • "Assurer la sécurité et la confidentialité des informations relatives aux clients ;
  • Protéger contre toute menace ou tout risque anticipé pour la sécurité ou l'intégrité de ces informations ; et
  • Protéger contre l'accès non autorisé ou l'utilisation de ces informations qui pourrait entraîner un préjudice ou un désagrément substantiel pour tout client".

Le tableau ci-dessous examine les principales dispositions du règlement sur les garanties relatives aux prestataires de services tiers et propose des bonnes pratiques pour répondre à ces exigences.

NOTE : Ce tableau inclut certaines dispositions de la section 314.4. Pour un examen complet des exigences, veuillez examiner l'intégralité du règlement sur les garanties avec votre équipe d'audit interne ou votre auditeur externe.

16 CFR Part 314 Standards for Safeguarding Customer Information (normes de protection des informations relatives aux clients)
Règle de sauvegarde Meilleures pratiques

(f) superviser les prestataires de services, en :

(1) prendre des mesures raisonnables pour sélectionner et conserver des prestataires de services capables de maintenir des garanties appropriées pour les informations sur les clients en question ;

Centraliser et automatiser la distribution, la comparaison et la gestion des appels d'offres et des demandes de renseignements.

Examiner les risques d'un fournisseur de services tiers potentiel - y compris les risques commerciaux, opérationnels, de réputation, financiers et les violations de données antérieures - afin d'éclairer et de contextualiser les décisions de sélection d'un tiers et de s'assurer que le fournisseur de services sélectionné répond non seulement aux exigences techniques mais aussi aux seuils de risque acceptables.

Une plateforme complète de gestion des risques liés aux tiers (TPRM) fera alors automatiquement passer un tiers sélectionné dans la phase de contractualisation et déclenchera un contrôle préalable plus approfondi.

(2) exiger par contrat de vos prestataires de services qu'ils mettent en œuvre et maintiennent de telles garanties ;

Centraliser la distribution, la discussion, la conservation et l'examen des contrats des fournisseurs de services tiers afin de s'assurer que les principales dispositions contractuelles sont incluses et appliquées tout au long du cycle de vie des tiers.

Une solution de gestion du cycle de vie des contrats doit comporter les éléments suivants

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
  • Profilage de documents basé sur l'IA qui permet d'extraire des dispositions clés pour un suivi automatisé.
  • Des fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
  • Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats.
  • Discussion centralisée des contrats et suivi des commentaires.
  • Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès.
  • Suivi du contrôle des versions qui permet de modifier les contrats et les documents hors ligne.
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Comme pour le point (1) ci-dessus, le site Prevalent comprend des flux de travail automatisés qui font passer les fournisseurs sous contrat à d'autres étapes de diligence raisonnable, le cas échéant.

(3) évaluer périodiquement vos fournisseurs de services en fonction du risque qu'ils présentent et du maintien de l'adéquation de leurs garanties.

Recherchez une solution qui propose une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les évaluations doivent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.
Les principales capacités d'évaluation de la sécurité des données et de la protection de la vie privée doivent inclure :

  • Des évaluations régulières et une cartographie des relations pour révéler où se trouvent les données personnelles, où elles sont partagées et qui y a accès - le tout résumé dans un registre des risques qui met en évidence les expositions critiques.
  • Évaluations de l'impact sur la vie privée pour découvrir les données commerciales à risque et les informations personnelles identifiables (PII).
  • Cartographie des risques et des réponses en fonction des contrôles. Comprend des évaluations de conformité en pourcentage et des rapports spécifiques aux parties prenantes.

Les évaluations doivent être gérées de manière centralisée et s'appuyer sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber , ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse.

Comment Prevalent peut aider à répondre aux exigences de la règle de sauvegarde GLBA

La plateforme de gestion des risques des tiers (TPRM)Prevalent automatise les tâches essentielles requises pour évaluer, surveiller et gérer les fournisseurs de services tiers en matière de sécurité, de protection de la vie privée et d'autres risques importants. La plateforme Prevalent permet aux équipes chargées de la gestion des risques liés aux tiers de centraliser :

  • Automatiser la recherche, la sélection et l'intégration des fournisseurs de services tiers grâce à des informations et à une évaluation des risques intégrées.
  • Profilage, classement et notation des risques inhérents et résiduels afin de classer avec précision les fournisseurs de services tiers en fonction de leur criticité et de prescrire des mesures de diligence raisonnable supplémentaires.
  • Évaluer les fournisseurs de services tiers à l'aide de plus de 750 modèles d'évaluation des risques dans de multiples domaines de risque, avec un remplissage automatique des questionnaires piloté par l'IA, un flux de travail, une gestion des tâches et des preuves, ainsi que des recommandations de remédiation.
  • Contrôler en permanence les fournisseurs de services tiers cyber, les risques commerciaux, financiers et de réputation afin de valider les contrôles par rapport aux résultats de l'évaluation et de combler les lacunes entre les évaluations régulières.
  • Répondez aux exigences réglementaires complexes en matière de reporting grâce à des analyses d'IA et d'apprentissage automatique qui normalisent et mettent en corrélation des résultats provenant de sources multiples.

Ce règlement est essentiel pour maintenir la confiance entre les institutions financières et leurs clients en veillant à ce que les informations personnelles et financières soient protégées de manière adéquate contre les accès non autorisés et les violations. Étant donné que 61 % des entreprises ont signalé une violation de données par un tiers ou un incident de sécurité au cours de l'année écoulée, les institutions financières doivent prendre des précautions adéquates pour s'assurer que les fournisseurs de services tiers protègent les données de leurs clients.

Pour en savoir plus sur la façon dont Prevalent peut vous aider à comprendre les exigences de la GLBA Safeguards Rule relatives aux fournisseurs de services tiers, demandez une démonstration dès aujourd'hui .

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo