ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), SP Düzenlemesinde, finans şirketlerinin veri sızıntılarını 30 gün içinde bildirmelerini gerektiren değişiklikler yaptı. Bu, tüketicileri korumaya yönelik büyük bir adımdır.
15 Mayıs 2024’te yürürlüğe girecek olan bu yeni kuralın amacı, tüketici finansal bilgilerine yönelik korumaların güçlendirilmesi ve güncellenmesidir.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
Düzenleme SP’nin Arka Planı
SEC Regülasyon SP, 2000 yılında piyasaya sürülmesinden bu yana broker-satıcıların, yatırım şirketlerinin ve lisanslı yatırım danışmanlarının müşteri kayıtlarını ve bilgilerini yazılı politika ve prosedürlerle korumalarını zorunlu kılmıştır.
Kural aynı zamanda tüketici raporu bilgilerinin nasıl düzgün bir şekilde silineceğini de açıklıyor ve gizlilik politikası bildirimlerini ve devre dışı bırakma seçeneklerini gerektiriyor.
Yıllar geçtikçe teknolojideki gelişmeler veri ihlallerini daha olası hale getirdi ve bu nedenle bu değişikliklere ihtiyaç duyuldu.
SP Yönetmeliğinde Önemli Değişiklikler
Olay Müdahale Programı
Değişiklikler, korunan kurumların bir olay müdahale programı oluşturması, kullanması ve buna ayak uydurması gerektiğini söylüyor.
Bu programın, izinsiz erişilen veya kullanılan müşteri verilerinin örneklerini bulabilmesi, durdurabilmesi ve düzeltebilmesi gerekir. Olay müdahale yönteminin bazı kritik kısımları şunlardır:
- Nasıl Bulunur ve Yanıtlanır: İnsanların izinsiz olarak müşteri bilgilerine erişmesini veya bunları kullanmasını bulma ve durdurma adımları.
- Daha fazla yetkisiz girişi veya kullanımı durdurmaya yönelik adımlara sınırlama ve kontrol denir.
- Hizmet Sağlayıcıların Gözetimi: Hizmet sağlayıcıların işlerini doğru yapmalarını ve denetlenmelerini sağlamaya yönelik kurallar.
Müşteri Bildirim Gereği
Değişikliklerin en önemli kısımlarından biri, etkilenecek kişilerin derhal bilgilendirilme zorunluluğudur.
Kapsam dahilindeki kuruluşların bir ihlal öğrendiğinde, hassas bilgilerine izinleri olmadan erişilen veya kullanılan kişilere bunu bildirmek için 30 günleri vardır. Bu, bildirimde bulunmalıdır:
- Olayın Detayları: Ne tür bir ihlal olduğuna ve ne kadar büyük olduğuna dair bilgiler.
- İhlal Edilen Veriler: Kaybolan veya çalınan verilerle ilgili ayrıntılar.
- Koruyucu önlemler: Etkilenen kişilerin kendilerini nasıl güvende tutabilecekleri konusunda tavsiyeler.
Daha geniş bir yelpazeye sahip bilgiler
Değişiklikler aynı zamanda Düzenleme SP’nin daha fazla bilgi türünü ele almasına da olanak tanıyor.
Bu, bankanın müşterileri hakkında topladığı özel, kamuya açık olmayan bilgileri ve müşterileri hakkında diğer bankalardan aldığı bilgileri içerir.
Ek Hükümler
Bu önemli değişikliklerin yanı sıra SP Yönetmeliğinde yapılan değişiklikler aşağıdakileri de içermektedir:
- Korumalar ve İmha Kuralları: Eklenen tüm kamuya açık olmayan kişisel bilgileri kapsar.
- Kayıt Tutma İhtiyaçları: Kapsam dahilindeki kurumlar (web sitelerine fon sağlamayanlar), imha ve güvenlik kurallarına uyduklarını gösteren yazılı kayıtlar tutmalıdır.
- Her Yıl Gizlilik Bildirimi: FAST Yasası uyarınca, belirli koşulların karşılanması durumunda kurumların yıllık gizlilik bildirimi göndermesine gerek yoktur.
- Transfer Acentelerine Uzatma: Hem koruma hem de imhaya ilişkin kurallar artık SEC veya başka bir düzenleyici kuruma kayıtlı transfer acenteleri için geçerlidir.
SEC’in Düzenleme SP’de yaptığı değişiklikler, insanların bankacılık bilgilerini güvende tutmaya yönelik büyük bir adımdır.
SEC, finans şirketlerinin veri ihlallerini 30 gün içinde bildirmelerini zorunlu tutarak müşterilerin hızlı bir şekilde bilgilendirilmesini ve güvende kalmak için ihtiyaç duydukları adımları atabilmelerini sağlamayı umuyor.
Bu değişiklikler, veri güvenliğinin nasıl değiştiğini ve giderek daha dijital hale gelen bir dünyada özel verileri korumak için ne kadar hayati araçlara ihtiyaç duyulduğunu gösteriyor.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers