Finans ve Bankacılık, Sektöre Özel, Standartlar, Düzenlemeler ve Uyumluluk
Revize Edilen Kural Kapsamında Bankacılık Dışı Kuruluşların İhlalleri Bildirmesi Zorunlu Olacak.
Chris Riotta (@chrisriotta) •
27 Ekim 2023
İpotek komisyoncuları, otomobil satıcıları ve avans kredisi verenler gibi tüketici kredi kuruluşlarının, kamuya açıklamayı zorunlu kılan revize edilmiş bir düzenleme uyarınca veri ihlallerini yakında Federal Ticaret Komisyonu’na bildirmeleri gerekiyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Revize edilen Koruma Tedbirleri Kuralı, banka dışı finans kuruluşlarının, üçüncü bir tarafın en az 500 tüketicinin şifrelenmemiş kayıtlarını izinsiz olarak ele geçirmesi durumunda veri ihlallerini bildirme eşiğini belirliyor.
Ajans komisyon üyelerinin oybirliğiyle onayladığı yeni açıklama zorunluluğu altı ay içinde yürürlüğe girecek. Şirketler için keşiften sonra 30 günlük bir son tarih belirliyor ve komisyonun 2021’de onayladığı ve tüketici kredi verenlerin güvenlik programlarını güçlendirmesini gerektiren Koruma Önlemleri Kuralı’nda yapılan daha önceki bir değişikliğin hemen ardından geliyor. Cuma günkü güncelleme, Başkan Bill Clinton’ın 1999 Gramm-Leach-Bliley Yasası’nı onaylamasının ardından yürürlüğe girdiğinden, Koruma Tedbirleri Kuralında yapılan yalnızca ikinci değişikliktir (bkz: ABD FTC, Koruma Tedbirleri Kuralı Son Tarihlerini 6 Ay Erteledi).
FTC Tüketiciyi Koruma Bürosu müdürü Sam Levine, yeni açıklama gerekliliklerinin “şirketlere tüketicilerin verilerini koruma konusunda ek teşvik sağlaması gerektiğini” söyledi. Son kural, şirketlerin üçüncü bir tarafın şifrelenmemiş verileri izinsiz olarak “elde ettiğini” keşfettiklerinde bir ihlali bildirmeleri gerektiğini açıklığa kavuşturuyor. Bu, tetikleyici bir olayı, tüketici kredi verenin tüketici verilerinin “yanlış kullanımının” meydana gelme ihtimalinin makul olduğunu belirlediği bir olay olarak tanımlayacak olan dilden bir değişikliktir. FTC, orijinal dilin “raporlama gerekliliğini aşmak için bir fırsat olarak kullanılabileceğini” söyledi.
Ulusal Otomobil Satıcıları Birliği de dahil olmak üzere sektör lobicileri kamuya açıklama yapılmasına kısıtlama getirilmesini savunurken, CTIA gibi bazıları FTC’nin raporları hiçbir şekilde kamuya açıklamaması yönünde çağrıda bulundu. Ajans, bir veri ihlalinin mutlaka bir şirketin Koruma Kuralını ihlal ettiği anlamına gelmediği yönündeki endüstri argümanlarıyla aynı fikirde olduğunu söyledi. Ancak bunun tersinin de doğru olduğunu belirten kurum şunları söyledi: “Bir kurumun herhangi bir ihlalle karşılaşmamış olması, kurumun mutlaka kurallara uygun olduğu anlamına gelmez.”
Sonuç olarak ajans, tüketicilere ihlal verileri sağlamanın tüketiciyi güçlendirmekle eşdeğer olduğuna inandığını söylüyor. FTC, “Bildirimlerin kamuya açıklanması, tüketicilerin bilgilerini hangi finansal kurumlara emanet etmeyi seçtikleri konusunda daha bilinçli kararlar vermelerini sağlayacak” dedi (bkz: Unvanı Borç Veren TMX Artık Ödeme Kartı Verilerinin İhlalden Çalındığını Söyledi).
Ajans, ihlal bildirimlerini barındıracak halka açık bir veritabanı oluşturacak.
Genişletilmiş Koruma Kuralı bir istisna içermektedir. Edinilen veriler şifrelenmişse kuruluşların veri ihlallerini açıklaması gerekmeyecek – “şifreleme anahtarına yetkisiz kişi tarafından erişilmediği sürece.”