GLBA et gestion des risques liés aux tiers
Les Standards for Safeguarding Customer Information, également connus sous le nom de 16 CFR Part 314, sont un règlement publié par la Federal Trade Commission (FTC) des États-Unis qui met en œuvre des dispositions clés introduites dans la Gramm-Leach-Bliley Act (GLBA). Ce règlement définit les normes que les institutions financières doivent respecter pour protéger la sécurité, la confidentialité et l'intégrité des informations personnelles non publiques (NPI) de leurs clients.
Étant donné que la loi exige des fournisseurs de services ou des affiliés (tels que les tiers) qu'ils maintiennent un programme de sécurité de l'information qui protège les données des clients, les équipes de gestion des risques des tiers doivent connaître les dispositions de la Safeguards Rule et être prêtes à rendre compte de leurs contrôles.
Identifier et évaluer les risques liés aux informations sur les clients dans chaque domaine opérationnel.
Veiller à ce que les prestataires de services (par exemple, les tiers) mettent en place des garanties appropriées pour les informations relatives aux clients ; exiger des prestataires de services, par contrat, qu'ils mettent en œuvre et maintiennent des garanties.
Concevoir et mettre en œuvre des mesures de sauvegarde pour contrôler les risques identifiés ; tester et contrôler régulièrement les mesures de sauvegarde.
Ajuster le programme en fonction des résultats de l'évaluation continue des risques, de la surveillance et des changements apportés aux opérations ou à la structure.
Alignez votre programme TPRM sur CCPA, GDPR, HIPAA et autres
Téléchargez ce guide pour passer en revue les exigences spécifiques de 6 autorités de protection de la vie privée, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
Répondre aux exigences de la GLBA TPRM
Le tableau ci-dessous examine les principales dispositions relatives aux prestataires de services tiers dans le règlement sur les garanties et met en correspondance les capacités de la plate-forme de gestion des risques des tiersPrevalent pour répondre aux exigences.
REMARQUE : ce tableau reprend certaines dispositions de la section GLBA 314.4. Pour un examen complet des exigences, veuillez examiner l'intégralité de la Safeguards Rule avec votre équipe d'audit interne ou votre auditeur externe.
16 CFR Part 314 Standards for Safeguarding Customer Information (normes de protection des informations relatives aux clients) |
---|
Règle de sauvegarde | Prevalent Capacités |
---|---|
(f) superviser les prestataires de services, en : |
|
(1) prendre des mesures raisonnables pour sélectionner et conserver des prestataires de services capables de maintenir des garanties appropriées pour les informations sur les clients en question ; |
Prevalent centralise et automatise la distribution, la comparaison et la gestion des appels d'offres et des demandes de renseignements. Grâce à cette capacité, vous pouvez examiner les risques d'un fournisseur de services tiers potentiel - y compris les risques commerciaux, opérationnels, de réputation, financiers et les violations de données antérieures - afin d'éclairer et de contextualiser les décisions de sélection des tiers et de garantir que le fournisseur de services sélectionné répond non seulement aux exigences techniques, mais aussi à des seuils de risque acceptables. Prevalent fait ensuite passer automatiquement les tiers sélectionnés dans la phase de contractualisation afin de lancer la procédure de diligence raisonnable. |
(2) exiger par contrat de vos prestataires de services qu'ils mettent en œuvre et maintiennent de telles garanties ; |
Prevalent centralise la distribution, la discussion, la conservation et l'examen des contrats des fournisseurs de services tiers afin de garantir que les principales dispositions contractuelles sont incluses et appliquées tout au long du cycle de vie des tiers. Les capacités clés comprennent :
Comme pour le point (1) ci-dessus, le site Prevalent comprend des flux de travail automatisés qui font passer les fournisseurs sous contrat à d'autres étapes de diligence raisonnable, le cas échéant. |
(3) évaluer périodiquement vos fournisseurs de services en fonction du risque qu'ils présentent et du maintien de l'adéquation de leurs garanties. |
La plateforme Prevalent TPRM propose une vaste bibliothèque de modèles prédéfinis pour l'évaluation des risques liés aux tiers. Les évaluations peuvent être réalisées au moment de l'intégration, du renouvellement du contrat ou à n'importe quelle fréquence (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.
Les évaluations sont gérées de manière centralisée et soutenues par un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important de noter que Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils peuvent fournir les preuves appropriées aux auditeurs. Dans le cadre de ce processus, Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. Prevalent surveille l'Internet et le dark web à la recherche de menaces et de vulnérabilités cyber , ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance sont corrélées aux résultats de l'évaluation et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, les rapports et les initiatives de réponse. |
Prenez en compte ces bonnes pratiques pour vous assurer que les fournisseurs de services tiers protègent correctement les données NPI de vos clients.
Atténuer les risques de confidentialité et se conformer aux exigences du GDPR en évaluant les contrôles de protection des données des tiers avec ces...
Si vos fournisseurs traitent des données sur les résidents de Californie, vous devez vous concentrer sur 4...