چگونه قانون Gramm-Leach-Bliley روی شیوه های امنیت داده ها حاکم است

قانون Gramm-Leach-Bliley (GLBA) که توسط کنگره در سال 1999 تصویب شد، در ابتدا به نوسازی صنعت مالی پرداخت. همچنین الزامات حفظ حریم خصوصی و امنیتی را برای مؤسسات مالی که اطلاعات را به نمایندگی از مشتریان خود مدیریت می کنند، تعیین کرده است. در حالی که دامنه GLBA گسترده است، این مقاله بر روی مقررات مربوط به شیوه‌های امنیت داده‌ها و اینکه چگونه یک مدیر رمز عبور در سطح سازمانی تطابق را تسهیل می‌کند، تمرکز دارد.

تعریف قانون حفاظتی اصلاح شده GLBA

به گفته کمیسیون تجارت فدرال (FTC)، GLBA “موسسات مالی را ملزم می کند – شرکت هایی که محصولات یا خدمات مالی مانند وام، مشاوره مالی یا سرمایه گذاری یا بیمه را به مصرف کنندگان ارائه می دهند – شیوه های به اشتراک گذاری اطلاعات خود را به مشتریان خود توضیح دهند و از موارد حساس محافظت کنند. داده ها.” FTC سپس به توضیح “قاعده پادمان” GLBA می‌پردازد که جزء این قانون است.
قوانین پادمان «شرکت‌های تحت پوشش را ملزم می‌کند تا یک برنامه امنیت اطلاعات را با پادمان‌های اداری، فنی و فیزیکی که برای محافظت از اطلاعات مشتریان طراحی شده‌اند، توسعه، اجرا و حفظ کنند».

در 9 ژوئن 2023، اصلاحات جدید در قانون پادمان اعمال شد. رویترز در مقاله ای جامع درباره این تغییرات، قانون پادمان اصلاح شده را به عنوان «رویکرد تجویزی تر» توصیف می کند که «تأیید می کند که برنامه های جامع امنیت اطلاعات باید اندازه و پیچیدگی کاربران/سازمان ها، ماهیت و دامنه فعالیت ها و حساسیت را در نظر بگیرند. از هرگونه اطلاعات مشتری.”

مقاله رویترز بیشتر این اصلاحات را تعریف می کند. در حالی که ما شما را تشویق می کنیم که تمام الزامات را مطالعه کنید، اما در سطح بالا موارد زیر را شامل می شود:

تعیین افراد واجد شرایط امنیتی: یک فرد - چه داخلی یا یک شخص ثالث - باید مسئول نظارت بر طرح امنیت اطلاعات یک موسسه مالی تحت پوشش باشد.
ارزیابی ریسک: مؤسسات مالی که اطلاعات مشتری را برای مشتریان 5K یا بیشتر در اختیار دارند، باید ارزیابی ریسک انجام دهند
محدودیت های دسترسی: موسسات مالی باید بتوانند نشان دهند که می توانند دسترسی کاربران (کارکنان) به اطلاعات مشتری را محدود کنند.
رمزگذاری: اطلاعات مشتری باید در هنگام حمل و نقل و در حالت استراحت رمزگذاری شود
آموزش: به همه کارکنان باید آموزش های امنیتی ارائه شود
طرح‌های واکنش به حادثه: مؤسسات مالی که اطلاعات مشتری را برای مشتریان 5K یا بیشتر نگه می‌دارند، باید یک طرح واکنش به حادثه داشته باشند.
ارزیابی‌های دوره‌ای: مؤسسات مالی که اطلاعات مشتری را برای مشتریان 5K یا بیشتر نگه می‌دارند باید بتوانند نشان دهند که می‌توانند اثربخشی شیوه‌های امنیت داده و تهدیدات بالقوه خود را ارزیابی کنند. این ممکن است از طریق استراتژی هایی مانند تست نفوذ باشد
به حداقل رساندن داده ها: مؤسسات مالی باید بتوانند نشان دهند که دارای استراتژی برای به حداقل رساندن داده های مشتری هستند که در طول دو سال استفاده نشده یا به آنها دسترسی پیدا نکرده است.

صنایع مسئول پیروی از قانون پادمان های GLBA

یادداشت‌های FTC و بخش 314.2 (h) نهادهای نمونه از جمله وام‌دهندگان وام مسکن، وام دهندگان روز حقوق، شرکت‌های مالی، کارگزاران وام مسکن، سرویس‌دهندگان حساب، صندوق‌داران چک، انتقال‌دهنده‌ها، آژانس‌های جمع‌آوری، مشاوران اعتباری و سایر مشاوران مالی، شرکت‌های آماده‌سازی مالیات، غیرفدرال را فهرست می‌کند. اتحادیه های اعتباری بیمه شده و مشاوران سرمایه گذاری که نیازی به ثبت نام در SEC ندارند.

همچنین در این لیست – و به عنوان بخشی از اصلاحات قانون پادمان اضافه شده است – “یاب” هستند. یابنده ها به این صورت تعریف می شوند: «شرکتی که به عنوان یابنده عمل می کند و یک یا چند خریدار و فروشنده هر محصول یا خدماتی را برای معاملاتی که خود طرفین مذاکره می کنند و انجام می دهند گرد هم می آورد… عمل به عنوان یاب فعالیتی است که ماهیت مالی دارد.»

با وجود چنین تعریف گسترده‌ای، احتمالاً برخی از کسب‌وکارهایی که قبلاً خارج از مقررات GLBA بودند، اکنون – به‌عنوان «یاب‌کننده» – در موقعیتی قرار می‌گیرند که نیاز به توسعه یک برنامه امنیت اطلاعات دارند که از اطلاعات مشتری محافظت می‌کند. آنها ممکن است شامل نمایندگی‌های خودرو، فروشگاه‌های مبلمان و سایر شرکت‌هایی باشند که تامین مالی شخص ثالث را ارائه می‌کنند.

نقش مدیریت رمز عبور در برآوردن الزامات GLBA

در بررسی اصلاحیه‌های قانون پادمان‌های GLBA، واضح است که دولت فدرال می‌خواهد مؤسسات مالی را برای محافظت از اطلاعات مشتری در برابر سرقت و دخالت داخلی و خارجی مسئول نگه دارد. با در نظر گرفتن این موضوع، نیاز موسسات مالی برای پیاده سازی یک برنامه مدیریت رمز عبور در سطح سازمانی کاملاً واضح می شود.

یک سیستم مدیریت رمز عبور مانند Bitwarden با ایجاد، مدیریت و ذخیره گذرواژه‌های قوی و منحصربه‌فرد به کارمندان کمک می‌کند تا خطر نقض اطلاعات ناشی از گذرواژه‌های ضعیف و استفاده مجدد را کاهش دهد. ابزارهای اشتراک امن Bitwarden به کارمندان اجازه می دهد تا داده های حساس را در تیم خود و در سراسر سازمان به اشتراک بگذارند و مدیریت کنند. Bitwarden رمزگذاری شده سرتاسر، کاربر پسند، و در بین پلتفرم ها و در بین مرورگرها در دسترس است. Bitwarden همچنین احراز هویت دو مرحله ای (2FA) را ارائه می دهد که با استفاده از روش دوم (اولین رمز عبور) برای تأیید هویت، امنیت کاربر را برای وب سایت ها و برنامه ها تقویت می کند. برای کارمندانی که اطلاعات حساس مشتری را مدیریت می کنند، لایه حفاظتی اضافی ارائه شده توسط احراز هویت دو عاملی/چند عاملی یک الزام مطلق است.

به سادگی استقرار نرم افزار مدیریت رمز عبور در سراسر یک موسسه مالی برای پاسخگویی به نیازهای قانون پادمان های GLBA کافی نیست. همانطور که توضیح بالا روشن می کند، تعدادی از استراتژی های امنیت اطلاعات وجود دارد که باید اجرا شوند. اما، الزام کارمندان به استفاده یکنواخت از یک مدیر رمز عبور در سطح سازمانی، اولین گام ضروری است که در پرورش فرهنگ امنیت محور (و امیدوارم مطابق با GLBA) بسیار پیش رود.

با Bitwarden شروع کنید

آماده اید تا امنیت خود را با یک راه حل مدیریت رمز عبور ساده کنید؟ با یک آزمایش تجاری رایگان شروع کنید تا به تیم خود کمک کنید تا به صورت آنلاین ایمن بمانند، یا به سرعت برای یک حساب فردی رایگان ثبت نام کنید.

وبلاگ مستر لایسنس

در صورتی که این مقاله چگونه قانون Gramm-Leach-Bliley روی شیوه های امنیت داده ها حاکم است برای شما مفید و آموزنده بود، پیشنهاد می‌شود برای اطلاع از سایر مقالات مستر لایسنس به صفحه وبلاگ مستر لایسنس مراجعه نمایید.