Les Standards for Safeguarding Customer Information, également connus sous le nom de 16 CFR Part 314, sont un règlement publié par la Federal Trade Commission (FTC) des États-Unis qui met en œuvre des dispositions clés introduites dans la Gramm-Leach-Bliley Act (GLBA). Ce règlement définit les normes que les institutions financières doivent respecter pour protéger la sécurité, la confidentialité et l'intégrité des informations personnelles non publiques (NPI) de leurs clients.
Étant donné que la loi oblige les fournisseurs de services ou les affiliés (tels que les tiers) à maintenir un programme de sécurité de l'information qui protège les données de vos clients, les équipes de gestion des risques des tiers doivent connaître les dispositions du Safeguards Rule et être prêtes à rendre compte de leurs contrôles.
Ce billet examine les principales dispositions de la GLBA Safeguards Rule et recommande les meilleures pratiques pour s'assurer que les fournisseurs de services tiers maintiennent la sécurité, la confidentialité et l'intégrité des données des clients de votre organisation.
La GLBA Safeguards Rule s'applique à toutes les institutions financières relevant de la compétence de la FTC. Elle vise à garantir que ces institutions disposent de systèmes solides pour protéger les informations relatives aux clients. Dans le cadre de cette règle, les institutions financières sont tenues d'élaborer, de mettre en œuvre et de maintenir un programme écrit complet de sécurité de l'information. Ce programme doit être adapté à la taille de l'institution, à sa complexité et au niveau d'informations sensibles qu'elle traite. En outre, les institutions financières doivent désigner un ou plusieurs employés chargés de coordonner leur programme de sécurité de l'information, y compris avec les fournisseurs de services tiers. Le non-respect des normes peut entraîner des sanctions et des actions correctives.
D'une manière générale, le Safeguards Rule exige que les programmes de sécurité de l'information comprennent les éléments suivants :
Les institutions financières doivent identifier et évaluer les risques pour les informations relatives aux clients dans chaque domaine pertinent de leurs activités. Elles doivent évaluer l'efficacité des mesures de protection actuellement en place pour contrôler ces risques.
Sur la base de l'évaluation des risques, les institutions financières doivent concevoir et mettre en œuvre des mesures de sauvegarde pour contrôler les risques identifiés. Ces mesures de protection doivent être testées et contrôlées régulièrement afin d'en garantir l'efficacité.
Les institutions financières doivent prendre des mesures raisonnables pour s'assurer que leurs prestataires de services (par exemple, des tiers) maintiennent des garanties appropriées pour les informations relatives aux clients. Elles peuvent notamment exiger par contrat que les prestataires de services mettent en œuvre et maintiennent de telles garanties.
Le programme de sécurité de l'information doit être adapté en fonction des résultats des évaluations continues des risques, de la surveillance et des changements dans les activités ou la structure de l'institution.
Selon l'article 314.3, les institutions financières sont tenues "d'élaborer, de mettre en œuvre et de tenir à jour un programme complet de sécurité de l'information rédigé en une ou plusieurs parties facilement accessibles et contenant des mesures de protection administratives, techniques et physiques adaptées à leur taille et à leur complexité, à la nature et à l'étendue de leurs activités, ainsi qu'au caractère sensible des informations sur les clients concernées".
Les objectifs du programme sont les suivants
Le tableau ci-dessous examine les principales dispositions du règlement sur les garanties relatives aux prestataires de services tiers et propose des bonnes pratiques pour répondre à ces exigences.
NOTE : Ce tableau inclut certaines dispositions de la section 314.4. Pour un examen complet des exigences, veuillez examiner l'intégralité du règlement sur les garanties avec votre équipe d'audit interne ou votre auditeur externe.
16 CFR Part 314 Standards for Safeguarding Customer Information (normes de protection des informations relatives aux clients) | |
---|---|
Règle de sauvegarde | Meilleures pratiques |
(f) superviser les prestataires de services, en : |
|
(1) prendre des mesures raisonnables pour sélectionner et conserver des prestataires de services capables de maintenir des garanties appropriées pour les informations sur les clients en question ; |
Centraliser et automatiser la distribution, la comparaison et la gestion des appels d'offres et des demandes de renseignements. Examiner les risques d'un fournisseur de services tiers potentiel - y compris les risques commerciaux, opérationnels, de réputation, financiers et les violations de données antérieures - afin d'éclairer et de contextualiser les décisions de sélection d'un tiers et de s'assurer que le fournisseur de services sélectionné répond non seulement aux exigences techniques mais aussi aux seuils de risque acceptables. Une plateforme complète de gestion des risques liés aux tiers (TPRM) fera alors automatiquement passer un tiers sélectionné dans la phase de contractualisation et déclenchera un contrôle préalable plus approfondi. |
(2) exiger par contrat de vos prestataires de services qu'ils mettent en œuvre et maintiennent de telles garanties ; |
Centraliser la distribution, la discussion, la conservation et l'examen des contrats des fournisseurs de services tiers afin de s'assurer que les principales dispositions contractuelles sont incluses et appliquées tout au long du cycle de vie des tiers. Une solution de gestion du cycle de vie des contrats doit comporter les éléments suivants
Comme pour le point (1) ci-dessus, le site Prevalent comprend des flux de travail automatisés qui font passer les fournisseurs sous contrat à d'autres étapes de diligence raisonnable, le cas échéant. |
(3) évaluer périodiquement vos fournisseurs de services en fonction du risque qu'ils présentent et du maintien de l'adéquation de leurs garanties. |
Recherchez une solution qui propose une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les évaluations doivent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.
Les évaluations doivent être gérées de manière centralisée et s'appuyer sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs. Dans le cadre de ce processus, suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber , ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse. |
La plateforme de gestion des risques des tiers (TPRM)Prevalent automatise les tâches essentielles requises pour évaluer, surveiller et gérer les fournisseurs de services tiers en matière de sécurité, de protection de la vie privée et d'autres risques importants. La plateforme Prevalent permet aux équipes chargées de la gestion des risques liés aux tiers de centraliser :
Ce règlement est essentiel pour maintenir la confiance entre les institutions financières et leurs clients en veillant à ce que les informations personnelles et financières soient protégées de manière adéquate contre les accès non autorisés et les violations. Étant donné que 61 % des entreprises ont signalé une violation de données par un tiers ou un incident de sécurité au cours de l'année écoulée, les institutions financières doivent prendre des précautions adéquates pour s'assurer que les fournisseurs de services tiers protègent les données de leurs clients.
Pour en savoir plus sur la façon dont Prevalent peut vous aider à comprendre les exigences de la GLBA Safeguards Rule relatives aux fournisseurs de services tiers, demandez une démonstration dès aujourd'hui .
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024