Finans ve Bankacılık, Sektöre Özel, Standartlar, Düzenlemeler ve Uyumluluk
Kapsam Dahilindeki Finansal Kuruluşların Müşterilerine Veri İhlallerini Bildirmek İçin 30 Günleri Var
Chris Riotta (@chrisriotta) •
17 Mayıs 2024
ABD federal düzenleyicileri Wall Street’teki veri güvenliği düzenlemelerini sıkılaştırdı ve Perşembe günü şirketlerin bir veri ihlalini tespit ettikten sonraki 30 gün içinde müşterilerini bilgilendirmesini ve bilgisayar korsanlarını tespit edip bunlara yanıt verecek bir programa sahip olmalarını gerektiren düzenlemeleri onayladı.
Ayrıca bakınız: Finansal Hizmetlere Yönelik Yazılım Tedarik Zinciri Platformu
Menkul Kıymetler ve Borsa Komisyonu, komisyoncu-bayilerin ve yatırım danışmanlarının tüketici verilerini nasıl denetleyeceğini ve koruyacağını düzenleyen SP Düzenlemesi’nde (daha çok koruma kuralı olarak bilinir) yapılan değişiklikleri oybirliğiyle onayladı. Güncellenen düzenlemeler, kapsam dahilindeki kurumların, bilgilerinin yetkisiz bir kullanıcı tarafından ele geçirilmesi durumunda müşterilere “mümkün olan en kısa sürede” ancak bir siber olaydan haberdar olduktan sonraki 30 günü geçmeyecek şekilde bildirimde bulunmasını gerektirmektedir.
SEC Başkanı Gary Gensler, düzenleyicilerin güvenlik önlemleri kurallarını 2000 yılında yürürlüğe girmesinden bu yana güncellemediklerini söyledi. Yeni kurallar, “müşterilerin mali verilerinin gizliliğinin korunmasına yardımcı olacak” “kritik güncellemeler yapacak”.
Gensler, “Son 24 yılda veri ihlallerinin doğası, ölçeği ve etkisi önemli ölçüde değişti” dedi.
SEC’e göre güncellemeler, kapsam dahilindeki kurumlar tarafından “tüketicilerin kamuya açık olmayan kişisel bilgilerine yönelik muameleyi düzenleyen kuralları modernleştirmeyi ve geliştirmeyi” amaçlıyor. Düzenlemeler aynı zamanda yatırım şirketlerini ve danışmanlarını, finans sektöründe artan teknoloji kullanımına ve bunun getirdiği risklere değinmeye yönlendiriyor.
SEC, Temmuz 2023’te halka açık şirketlerin “önemli siber güvenlik olaylarını” keşfedildikten sonraki dört gün içinde açıklamasını zorunlu kılmak için oy kullandı (bkz: SEC, 4 Gün İçinde Önemli Olayların Açıklanması Gereksinimini Oyladı).
En son olay raporlama gereklilikleri, Federal Kayıt’ta yayınlandıktan 60 gün sonra yürürlüğe girecek ve daha büyük kuruluşların uyumluluğu sağlamak için bu tarihten sonra 18 ayı olacak. Küçük işletmelerin yeni kurallara uymak için 24 ayı olacak.