Demandez une démo
Hero compliance fcpa

Règle de sauvegarde de la loi Gramm-Leach-Bliley

GLBA et gestion des risques liés aux tiers

Les Standards for Safeguarding Customer Information, également connus sous le nom de 16 CFR Part 314, sont un règlement publié par la Federal Trade Commission (FTC) des États-Unis qui met en œuvre des dispositions clés introduites dans la Gramm-Leach-Bliley Act (GLBA). Ce règlement définit les normes que les institutions financières doivent respecter pour protéger la sécurité, la confidentialité et l'intégrité des informations personnelles non publiques (NPI) de leurs clients.

Étant donné que la loi exige des fournisseurs de services ou des affiliés (tels que les tiers) qu'ils maintiennent un programme de sécurité de l'information qui protège les données des clients, les équipes de gestion des risques des tiers doivent connaître les dispositions de la Safeguards Rule et être prêtes à rendre compte de leurs contrôles.

Conditions applicables

  • Identifier et évaluer les risques liés aux informations sur les clients dans chaque domaine opérationnel.

  • Veiller à ce que les prestataires de services (par exemple, les tiers) mettent en place des garanties appropriées pour les informations relatives aux clients ; exiger des prestataires de services, par contrat, qu'ils mettent en œuvre et maintiennent des garanties.

  • Concevoir et mettre en œuvre des mesures de sauvegarde pour contrôler les risques identifiés ; tester et contrôler régulièrement les mesures de sauvegarde.

  • Ajuster le programme en fonction des résultats de l'évaluation continue des risques, de la surveillance et des changements apportés aux opérations ou à la structure.

Alignez votre programme TPRM sur CCPA, GDPR, HIPAA et autres

Téléchargez ce guide pour passer en revue les exigences spécifiques de 6 autorités de protection de la vie privée, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Lire la suite
Ressources présentées manuel de conformité vie privée

Répondre aux exigences de la GLBA TPRM

Le tableau ci-dessous examine les principales dispositions relatives aux prestataires de services tiers dans le règlement sur les garanties et met en correspondance les capacités de la plate-forme de gestion des risques des tiersPrevalent pour répondre aux exigences.

REMARQUE : ce tableau reprend certaines dispositions de la section GLBA 314.4. Pour un examen complet des exigences, veuillez examiner l'intégralité de la Safeguards Rule avec votre équipe d'audit interne ou votre auditeur externe.

16 CFR Part 314 Standards for Safeguarding Customer Information (normes de protection des informations relatives aux clients)
Règle de sauvegarde Prevalent Capacités

(f) superviser les prestataires de services, en :

(1) prendre des mesures raisonnables pour sélectionner et conserver des prestataires de services capables de maintenir des garanties appropriées pour les informations sur les clients en question ;

Prevalent centralise et automatise la distribution, la comparaison et la gestion des appels d'offres et des demandes de renseignements.

Grâce à cette capacité, vous pouvez examiner les risques d'un fournisseur de services tiers potentiel - y compris les risques commerciaux, opérationnels, de réputation, financiers et les violations de données antérieures - afin d'éclairer et de contextualiser les décisions de sélection des tiers et de garantir que le fournisseur de services sélectionné répond non seulement aux exigences techniques, mais aussi à des seuils de risque acceptables.

Prevalent fait ensuite passer automatiquement les tiers sélectionnés dans la phase de contractualisation afin de lancer la procédure de diligence raisonnable.

(2) exiger par contrat de vos prestataires de services qu'ils mettent en œuvre et maintiennent de telles garanties ;

Prevalent centralise la distribution, la discussion, la conservation et l'examen des contrats des fournisseurs de services tiers afin de garantir que les principales dispositions contractuelles sont incluses et appliquées tout au long du cycle de vie des tiers.

Les capacités clés comprennent :

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
  • Profilage de documents basé sur l'IA qui permet d'extraire des dispositions clés pour un suivi automatisé.
  • Des fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
  • Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats.
  • Discussion centralisée des contrats et suivi des commentaires.
  • Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès.
  • Suivi du contrôle des versions qui permet de modifier les contrats et les documents hors ligne.
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Comme pour le point (1) ci-dessus, le site Prevalent comprend des flux de travail automatisés qui font passer les fournisseurs sous contrat à d'autres étapes de diligence raisonnable, le cas échéant.

(3) évaluer périodiquement vos fournisseurs de services en fonction du risque qu'ils présentent et du maintien de l'adéquation de leurs garanties.

La plateforme Prevalent TPRM propose une vaste bibliothèque de modèles prédéfinis pour l'évaluation des risques liés aux tiers. Les évaluations peuvent être réalisées au moment de l'intégration, du renouvellement du contrat ou à n'importe quelle fréquence (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.
Les principales capacités d'évaluation de la sécurité des données et de la protection de la vie privée de la plateforme sont les suivantes :

  • Des évaluations régulières et une cartographie des relations pour révéler où se trouvent les données personnelles, où elles sont partagées et qui y a accès - le tout résumé dans un registre des risques qui met en évidence les expositions critiques.
  • Évaluations de l'impact sur la vie privée pour découvrir les données commerciales à risque et les informations personnelles identifiables (PII).
  • Cartographie des risques et des réponses en fonction des contrôles. Comprend des évaluations de conformité en pourcentage et des rapports spécifiques aux parties prenantes.

Les évaluations sont gérées de manière centralisée et soutenues par un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important de noter que Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils peuvent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. Prevalent surveille l'Internet et le dark web à la recherche de menaces et de vulnérabilités cyber , ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Toutes les données de surveillance sont corrélées aux résultats de l'évaluation et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, les rapports et les initiatives de réponse.
Ressources disponibles
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo