ABD Federal Ticaret Komisyonu (FTC), Bankacılık dışı tüm finansal kuruluşların veri ihlali olaylarını 30 gün içinde bildirmelerini zorunlu kılacak şekilde Güvenlik Önlemleri Kurallarını değiştirdi.
Bu tür kuruluşlar arasında ipotek komisyoncuları, motorlu taşıt satıcıları, maaş günü kredi verenler, yatırım firmaları, sigorta şirketleri, eşler arası kredi verenler ve varlık yönetimi firmaları yer almaktadır.
Bu gereklilik, müşteri bilgilerini korumak ve uyumluluk yükümlülüklerini güçlendirmek için veri güvenliği önlemlerini geliştirmeyi amaçlayan Koruma Kuralına eklenir.
Özellikle yetkisiz üçüncü tarafların şifrelenmemiş (açık metin) bilgilere erişmesi durumunda, 500 veya daha fazla tüketiciyi etkileyen güvenlik olayları için geçerlidir.
FTC’nin Tüketiciyi Koruma Bürosu Direktörü Samuel Levine, “Hassas mali bilgiler konusunda güvenilen şirketlerin, bu bilgilerin ele geçirilmesi durumunda şeffaf olmaları gerekir” dedi.
“Bu açıklama zorunluluğunun Koruma Tedbirleri Kuralına eklenmesi, şirketlere tüketicilerin verilerini koruma konusunda ek teşvik sağlamalıdır.”
Saldırganlar şifreleme anahtarına erişmediği sürece tüketici bilgilerinin şifrelendiği durumlarda bildirim zorunluluğu geçerli değildir.
İhlal edilen firmaların bildiriminin FTC’nin çevrimiçi portalına gönderilmesi ve güvenlik olayıyla ilgili aşağıdaki gibi ayrıntıları içermesi gerekir:
- Raporlama yapan kurumun adı ve iletişim bilgileri.
- Etkilenen tüketicilerin ve bundan etkilenme potansiyeli olanların sayısı.
- Potansiyel olarak açığa çıkan veri türlerinin açıklaması.
- Maruz kalma tarihi ve mümkünse olayın süresinin belirlenmesi.
- Kolluk kuvvetlerinin, ihlalin kamuya açıklanmasının soruşturmayı engelleyebileceğini veya ulusal güvenliği tehdit edebileceğini bildirip bildirmediğinin doğrulanması.
Ajans, bir kolluk kuvveti yetkilisinin belirli bir olayın kamuya açıklanmasının uzatılmasını istemesi durumunda 60 günlük bir gecikme için bir hüküm ekledi.
FTC, bir veri ihlali raporu göndermenin otomatik olarak Koruma Kuralı’nın ihlali anlamına gelmediğini veya bir soruşturma veya yaptırım eylemi sağlamadığını vurguluyor.
Yeni bildirim zorunluluğu, kuralın Federal Kayıt’ta yayınlanmasından 180 gün sonra yürürlüğe girecek, dolayısıyla kural Nisan 2024’ten itibaren geçerli olacak.
Değişiklikler ve FTC’nin paydaşlardan aldığı geri bildirimlere dayalı olarak geliştirilme süreci hakkında daha fazla ayrıntı için bu belgeyi okuyabilirsiniz.