Tüketici mali verilerini yönetiyorsanız, ABD’den haberdar olmanız gerekir Federal Ticaret komisyon‘S (FTC) Revize Koruma Önlemleri Kuralı siber güvenlik yönetmeliği. Kural, kendilerini finans kurumu olarak görmeyenler de dahil olmak üzere çok çeşitli işletmeler için geçerlidir. bu FTC birçok şirketi, müşteri verilerini korumak için belirli önlemler uygulamalarını gerektiren kurala tabi olarak “bankacılık dışı finansal kuruluşlar” olarak sınıflandırmıştır.
Gözden geçirilmiş Tedbirler Kuralına uyum zorunludur ve uygulama için son tarih hızla yaklaşmaktadır. Kural kapsamındaki finansal kuruluşların belirli hükümlere 9 Haziran 2023 tarihine kadar uyması gerekiyor. FTC kuraldaki bazı değişiklikler için son tarihi uzattı, işletmeler son tarihe kadar uyumlu olduklarından emin olmak için acil adımlar atmalıdır.
Anlamak FTC Tedbirler Kuralı
bu FTC Koruma Önlemleri Kuralı, kapsanan finansal kurumların müşteri bilgilerini korumak için tasarlanmış bir bilgi güvenliği programı geliştirmesini, uygulamasını ve sürdürmesini gerektiren bir dizi düzenlemedir. Kural ilk olarak 2002’de tanıtıldı ve gelişen teknolojiye ve güvenlik tehditlerine ayak uydurmak için birçok kez revize edildi. En son revizyon Ekim 2021’de duyuruldu ve uygunluk için son tarih Haziran 2023 olarak belirlendi.
Nedir FTC Güvenlik Kuralı?
bu FTC Koruma Önlemleri Kuralı, kapsanan finansal kurumların müşteri bilgilerini korumak için tasarlanmış bir bilgi güvenliği programı geliştirmesini, uygulamasını ve sürdürmesini gerektiren bir dizi düzenlemedir. Kural, ipotek kredi verenleri ve komisyoncular gibi banka dışı finansal kuruluşlar için geçerlidir ve hassas müşteri bilgilerini yetkisiz erişime, kullanıma veya ifşaya karşı korumak için adımlar atmalarını gerektirir.
Kim etkilenir FTC Güvenlik Kuralı?
bu FTC Koruma Tedbirleri Kuralı, tüketicilerden kişisel bilgileri toplayan, saklayan veya kullanan ipotek kredi verenleri ve komisyoncular gibi banka dışı finansal kuruluşlar için geçerlidir. Kural, bu bilgilere erişimi olan hizmet sağlayıcılar için de geçerlidir. Kapsanan finansal kuruluşlar, büyüklüğü, yeri veya iş türü ne olursa olsun Koruma Tedbirleri Kuralına uymalıdır.
gereksinimleri nelerdir? FTC Güvenlik Kuralı?
Diğer şeylerin yanı sıra, revize edilmiş Koruma Tedbirleri Kuralı şunları gerektirir:
- “Makul şekilde öngörülebilir dahili ve harici riskleri” ele almak için planlama ve eylem – başka bir deyişle, veri ihlallerine, veri sızıntısına, kimlik avına ve fidye yazılımlarına karşı koruma.
- Çok faktörlü kimlik doğrulamanın uygulanması.
Bu gerekliliklere ek olarak, kapsanan finansal kuruluşlar ayrıca:
- Bilgi güvenliği programını koordine etmesi için bir veya daha fazla çalışan belirleyin.
- Şirketin operasyonlarının ilgili her alanında müşteri bilgilerine yönelik riskleri belirleyin ve değerlendirin ve bu riskleri kontrol etmek için mevcut önlemlerin etkinliğini değerlendirin.
- Risk değerlendirmesi yoluyla tanımlanan riskleri kontrol etmek için önlemler uygulayın ve önlemlerin temel kontrollerinin, sistemlerinin ve prosedürlerinin etkinliğini düzenli olarak test edin veya izleyin.
- Uygun koruma önlemlerini sürdürebilen hizmet sağlayıcıları seçin, sözleşmenin önlemleri sürdürmelerini gerektirdiğinden emin olun ve müşteri bilgilerini ele alma biçimlerini denetleyin.
- Programı, firmanın iş veya operasyonlarındaki değişiklikler veya güvenlik testi ve izleme sonuçları dahil olmak üzere ilgili koşullar ışığında değerlendirin ve ayarlayın.
Genel olarak, FTC Koruma Tedbirleri Kuralı, kapsanan finansal kurumların hassas müşteri bilgilerini yetkisiz erişime, kullanıma veya ifşaya karşı korumak için makul adımlar atmasını sağlamak üzere tasarlanmıştır. Koruma Tedbirleri Kuralına uyulmaması, kapsanan finansal kuruluşlar için önemli cezalara ve itibar zedelenmesine neden olabilir.
Müşterinizin Verilerini Koruma Adımları
Risk Değerlendirmesi Gerçekleştirin
Müşterinizin verilerini koruyabilmeniz için önce hangi verilere sahip olduğunuzu, bunların nerede saklandığını ve bunlara kimin erişebileceğini bilmeniz gerekir. Bir risk değerlendirmesi yapmak, müşterinizin verilerine yönelik güvenlik açıklarını ve potansiyel tehditleri belirlemenize yardımcı olacaktır. Bu, bu verileri korumak için kapsamlı bir plan geliştirmenize olanak tanır.
Diğer şeylerin yanı sıra, revize edilmiş Koruma Önlemleri Kuralı, “makul şekilde öngörülebilir dahili ve harici riskleri” ele almak için planlama ve eylem gerektirir – başka bir deyişle, veri ihlallerine, veri sızıntısına, kimlik avına ve fidye yazılımlarına karşı koruma.
Yazılı Bilgi Güvenliği Programı Uygulayın
Yazılı Bilgi Güvenliği Programı (WISP) geliştirmek, müşterinizin verilerini korumanın temel unsurlarından biridir. WISP, müşteri verilerini nasıl koruyacağınızı özetleyen kapsamlı bir plandır. Veri erişimi, depolanması ve imhasına yönelik politika ve prosedürlerin yanı sıra güvenlik olaylarına yanıt vermeye yönelik yönergeleri içermelidir.
Gözden geçirilmiş Koruma Tedbirleri Kuralı ayrıca çok faktörlü kimlik doğrulamanın uygulanmasını gerektirir. Bu, hassas verilere erişmek için birden fazla kimlik doğrulama yöntemi kullanmanız gerektiği anlamına gelir. Örneğin, müşteri verilerine erişmek için parola ve parmak izi taraması gerekebilir.
Çalışanlarınızı Eğitin
Çalışanlarınız, veri ihlallerine karşı ilk savunma hattınızdır. Onları müşteri verilerinin güvenli bir şekilde nasıl kullanılacağı konusunda eğitmek önemlidir. Bu, güvenlik olaylarının nasıl belirleneceği ve bunlara nasıl yanıt verileceği ile çok faktörlü kimlik doğrulamanın nasıl kullanılacağına ilişkin eğitimi içerir.
Sistemlerinizi İzleyin ve Olaylara Müdahale Edin
Sistemlerinizi izlemek, güvenlik olaylarını tespit etmek ve bunlara yanıt vermek için kritik öneme sahiptir. Olağandışı etkinlikleri izlemek ve olası tehditlere hızlı bir şekilde yanıt vermek için sistemlerinizin yerinde olması gerekir. Buna, bir veri ihlali durumunda müşterileri bilgilendirmek için bir plana sahip olmak da dahildir.
Müşterinizin verilerini korumanın devam eden bir süreç olduğunu unutmayın. En son tehditlere ve güvenlik açıklarına ayak uydurduğunuzdan emin olmak için güvenlik önlemlerinizi düzenli olarak gözden geçirmeli ve güncellemelisiniz.
Haziran 2023 ile tanışmak FTC Tedbir Kuralı Son Tarihi
Teslim tarihi için hazırlanıyor
Yeni 9 Haziran 2023, revize edilene uyum için son tarih FTC Tedbirler Kuralı hızla yaklaşıyor. Diğer şeylerin yanı sıra, revize edilmiş Koruma Önlemleri Kuralı, “makul şekilde öngörülebilir dahili ve harici riskleri” ele almak için planlama ve eylem gerektirir – başka bir deyişle, veri ihlallerine, veri sızıntısına, kimlik avına ve fidye yazılımlarına karşı koruma. Ayrıca, çok faktörlü kimlik doğrulamanın uygulanmasını gerektirir. Son teslim tarihine hazırlanmak için işletmeler aşağıdaki adımları göz önünde bulundurmalıdır:
- Müşteri verilerindeki olası güvenlik açıklarını ve riskleri belirlemek için kapsamlı bir risk değerlendirmesi yapın.
- Risk değerlendirmesinde tanımlanan riskleri ele alan kapsamlı bir veri güvenliği programı geliştirin ve uygulayın.
- Müşteri verilerine yetkisiz erişime karşı koruma sağlamak için çok faktörlü kimlik doğrulaması uygulayın.
- Çalışanları veri güvenliğiyle ilgili en iyi uygulamalar ve olası güvenlik olaylarının nasıl belirlenip bunlara yanıt verileceği konusunda eğitin.
- Etkili ve güncel kalmasını sağlamak için veri güvenliği programını düzenli olarak gözden geçirin ve güncelleyin.
Uymazsanız Ne Olur?
9 Haziran 2023 tarihine kadar revize edilmiş Koruma Tedbirleri Kuralına uymayan işletmeler, FTC, para cezaları ve cezalar dahil. Ek olarak, Koruma Tedbirleri Kuralına uyulmaması da bir işletmenin itibarına zarar verebilir ve müşteri güvenini aşındırabilir.
Veri İhlali Nasıl Bildirilir?
Bir veri ihlali durumunda, işletmeler ihlali kontrol altına almak, etkilenen müşterileri bilgilendirmek ve ihlali ilgili makamlara bildirmek için derhal harekete geçmelidir. Gözden geçirilmiş Koruma Tedbirleri Kuralı, işletmelerin bir veri ihlali durumunda atılacak adımları özetleyen yazılı bir olay müdahale planına sahip olmalarını gerektirir. İşletmeler ayrıca aşağıdaki adımları da göz önünde bulundurmalıdır:
- Etkilenen müşterileri mümkün olan en kısa sürede bilgilendirin ve kendilerini kimlik hırsızlığı ve dolandırıcılıktan nasıl koruyacakları konusunda onlara bilgi verin.
- İhlalleri yetkili makamlara bildirin, örneğin FTCeyalet başsavcıları ve kredi raporlama ajansları.
- İhlal soruşturmasında kolluk kuvvetleri ve düzenleyici kurumlarla işbirliği yapın.
- Nedeni belirlemek ve gelecekteki ihlalleri önlemek için adımlar atmak için kapsamlı bir ihlal soruşturması yürütün.
Çözüm
Müşterinizin verilerini korumak sadece yasal bir zorunluluk değil aynı zamanda manevi bir sorumluluktur. Gözden geçirilmiş Koruma Tedbirleri Kuralı doğru yönde atılmış bir adımdır ve işletmeler bunu ciddiye almalıdır. Revize Edilen Önlemler Kuralına uyum için son tarih 9 Haziran 2023’e uzatıldı. Bu uzatma, işletmelere veri güvenliği önlemlerini değerlendirmeleri ve gerekli değişiklikleri uygulamaları için altı ay daha veriyor.
Diğer şeylerin yanı sıra, gözden geçirilmiş Koruma Tedbirleri Kuralı, işletmelerin “makul şekilde öngörülebilir iç ve dış riskleri” ele almak için plan yapmasını ve harekete geçmesini gerektiriyor. Bu, veri ihlallerine, veri sızıntısına, kimlik avına ve fidye yazılımlarına karşı korumayı içerir. İşletmeler, hassas verilere yalnızca yetkili personelin erişebildiğinden emin olmak için çok faktörlü kimlik doğrulama uygulamalıdır.
İşletmelerin veri güvenliğinin önemini anlamaları ve müşterilerinin verilerini korumak için uygun önlemleri almaları çok önemlidir. Gözden geçirilmiş Tedbirler Kuralına uyulmaması, önemli mali cezalara ve işletmenin itibarının zarar görmesine neden olabilir. Bu nedenle işletmelerin veri güvenliğine öncelik vermesi ve son tarih olan 9 Haziran 2023’e kadar revize edilmiş Koruma Tedbirleri Kuralına uyması gerekiyor.