Menkul Kıymetler ve Borsa Komisyonu (SEC), belirli finans kuruluşlarının veri ihlali olaylarını, tespitten sonraki 30 gün içinde etkilenen kişilere açıklamasını gerektiren SP Yönetmeliğinde yapılan değişiklikleri kabul etti.
SP Düzenlemesi 2000 yılında yürürlüğe girmiştir ve bazı finansal kuruluşların tüketicilere ait kamuya açık olmayan kişisel bilgileri nasıl ele alması gerektiğini kontrol etmektedir. Bu kurallar, veri koruma politikalarının, gizlilik ve güvenlik güvencelerinin geliştirilmesini ve uygulanmasını ve beklenen tehditlere karşı korumayı içerir.
Bu hafta başında kabul edilen yeni değişiklikler, komisyoncu-satıcılar (fon portalları dahil), yatırım firmaları, kayıtlı yatırım danışmanları ve transfer acenteleri gibi finans firmalarını etkiliyor.
Değişiklikler ilk olarak geçen yılın Mart ayında, bireysel mali bilgilerin veri ihlallerine ve bağlı olmayan taraflara maruz kalmaya karşı korunmasını modernize etmek ve geliştirmek için önerildi.
Aşağıda getirilen değişikliklerin bir özeti bulunmaktadır:
- Etkilenen kişilere, hassas bilgilerine yetkisiz olarak erişilmesi veya kullanılması muhtemelse veya erişilmesi muhtemelse, olayı, ihlal edilen verileri ve alınan koruyucu önlemleri ayrıntılarıyla anlatarak 30 gün içinde bilgilendirin. Bilginin maruz kalan kişilere ciddi zarar vermesi veya rahatsızlık vermesi beklenmiyorsa muafiyet geçerlidir.
- Müşteri bilgilerinin yetkisiz erişimini veya kullanımını tespit etmek, yanıt vermek ve bu bilgileri kurtarmak için bir olay müdahale programına yönelik yazılı politikalar ve prosedürler geliştirin, uygulayın ve sürdürün. Bu, güvenlik olaylarını değerlendirme ve kontrol altına alma, politikaları uygulama ve hizmet sağlayıcıları denetleme prosedürlerini içermelidir.
- Diğer finansal kuruluşlardan alınanlar da dahil olmak üzere, kamuya açık olmayan tüm kişisel bilgileri kapsayacak şekilde güvenlik önlemlerini ve imha kurallarını genişletin.
- Finansman portalları hariç olmak üzere, güvenlik önlemlerine ve elden çıkarma kurallarına uygunluğun belgelendirilmesini zorunlu kılın.
- Yıllık gizlilik bildirimi dağıtımını, belirli koşulları muaf tutarak FAST Yasası ile uyumlu hale getirin.
- Koruma önlemlerini ve elden çıkarma kurallarını, SEC veya diğer düzenleyici kurumlara kayıtlı transfer acentelerini kapsayacak şekilde genişletin.
Değişiklikler, ilk olarak 2000 yılında kabul edilen ve günümüzün siber güvenlik ortamında müşterilerin finansal veri gizliliğini artık yeterince koruyamayan bir kurala yapılan önemli bir güncellemeyi temsil ediyor.
SEC Başkanı Gary Gensler, “Son 24 yılda veri ihlallerinin doğası, ölçeği ve etkisi önemli ölçüde değişti” dedi.
“SP Yönetmeliğinde yapılan bu değişiklikler, ilk olarak 2000 yılında kabul edilen bir kuralda kritik güncellemeler yapacak ve müşterilerin mali verilerinin gizliliğinin korunmasına yardımcı olacaktır.”
“Kapsanan firmalar için temel fikir, eğer bir ihlal varsa, bunu bildirmeniz gerektiğidir. Bu, yatırımcılar için iyidir.”
Değişiklikler, ajans kuralları, önerilen kurallar ve kamu duyuruları dahil olmak üzere ABD federal hükümetinin resmi gazetesi olan Federal Kayıt’ta yayınlandıktan 60 gün sonra yürürlüğe girer.
Daha büyük kuruluşların, değişikliklerin Federal Kayıt’ta yayınlanmasından sonra 18 aylık bir uyum tarihi vardır. Daha küçük kuruluşlar için bu süre iki yıla kadar uzanır.
Aralık ayında SEC ayrıca, tüm halka açık şirketlerin, iş stratejisini, faaliyet sonuçlarını veya mali durumunu maddi olarak etkilemesi veya maddi olarak etkileme ihtimalinin makul olması durumunda bir ihlale maruz kaldıklarını açıklamalarını zorunlu kılan yeni kurallar getirdi.