- 10,547
- 18
- 8 Ноя 2022
Новые правила защиты клиентской информации для финансовых учреждений.
Комиссия по ценным бумагам и биржам США ( SEC ) ввела новые правила, согласно которым финансовые учреждения должны сообщать об утечках данных в течение 30 дней с момента их обнаружения.
15 мая SEC Для просмотра ссылки Войдиили Зарегистрируйся к Регламенту S-P, регулирующему обращение с персональными данными потребителей. Теперь учреждения обязаны уведомлять пострадавших «как можно скорее, но не позднее 30 дней» после выявления несанкционированного доступа к данным. Эти требования распространяются на инвестиционные компании, финансовых брокеров, зарегистрированных инвестиционных консультантов и трансфер-агентов.
«За последние 24 года природа, масштаб и влияние утечек данных существенно изменились», — Для просмотра ссылки Войдиили Зарегистрируйся председатель SEC Гэри Генслер. «Эти поправки обновят правила, принятые в 2000 году, и помогут защитить конфиденциальность финансовых данных клиентов».
Уведомления должны содержать подробную информацию о происшествии, какие данные были скомпрометированы и как пострадавшие могут себя защитить. Однако, согласно одному из положений, учреждения могут не уведомлять клиентов, если установят, что личная информация не была использована таким образом, который мог бы привести к «значительному вреду или неудобствам».
Поправки требуют от учреждений разработать, внедрить и поддерживать письменные политики и процедуры, направленные на обнаружение, реагирование и восстановление после несанкционированного доступа к информации клиентов. Кроме того, поправки также:
Хестер Пирс, комиссар SEC, Для просмотра ссылки Войдиили Зарегистрируйся что новые требования могут оказаться чрезмерными. «Сегодняшнее обновление Регламента S-P поможет учреждениям правильно расставлять приоритеты в защите информации клиентов», — отметил комиссар.
«Клиенты будут своевременно уведомлены о компрометации их данных, чтобы они могли предпринять меры для защиты, такие как изменение паролей или более тщательный контроль кредитных рейтингов. Тем не менее, у меня есть опасения, связанные с широтой правил и вероятностью увеличения числа уведомлений, которые могут оказаться избыточными», — добавила Пирс.
Регламент S-P не обновлялся с момента его принятия в 2000 году. В прошлом году SEC приняла новые правила, требующие от публичных компаний раскрывать утечки данных, которые существенно влияют или могут повлиять на бизнес, стратегию или финансовые результаты.
Поправки вступят в силу через 60 дней после публикации в Федеральном реестре. Крупные организации обязаны будут соблюдать новые требования через 18 месяцев после публикации, а малые организации — через 24 месяца.
Комиссия по ценным бумагам и биржам США ( SEC ) ввела новые правила, согласно которым финансовые учреждения должны сообщать об утечках данных в течение 30 дней с момента их обнаружения.
15 мая SEC Для просмотра ссылки Войди
«За последние 24 года природа, масштаб и влияние утечек данных существенно изменились», — Для просмотра ссылки Войди
Уведомления должны содержать подробную информацию о происшествии, какие данные были скомпрометированы и как пострадавшие могут себя защитить. Однако, согласно одному из положений, учреждения могут не уведомлять клиентов, если установят, что личная информация не была использована таким образом, который мог бы привести к «значительному вреду или неудобствам».
Поправки требуют от учреждений разработать, внедрить и поддерживать письменные политики и процедуры, направленные на обнаружение, реагирование и восстановление после несанкционированного доступа к информации клиентов. Кроме того, поправки также:
- Расширяют и согласовывают правила безопасности и уничтожения данных, чтобы охватить как информацию о собственных клиентах учреждения, так и информацию, полученную от других финансовых организаций.
- Обязывают учреждения, кроме порталов финансирования, вести письменную документацию по соблюдению правил безопасности и уничтожения данных.
- Приводят положения об ежегодном уведомлении о конфиденциальности в соответствие с условиями исключения, добавленного FAST Act, согласно которому учреждения не обязаны доставлять ежегодное уведомление, если выполняются определённые условия.
- Распространяют правила безопасности и уничтожения данных на трансфер-агентов, зарегистрированных в SEC или другом соответствующем регулирующем органе.
Хестер Пирс, комиссар SEC, Для просмотра ссылки Войди
«Клиенты будут своевременно уведомлены о компрометации их данных, чтобы они могли предпринять меры для защиты, такие как изменение паролей или более тщательный контроль кредитных рейтингов. Тем не менее, у меня есть опасения, связанные с широтой правил и вероятностью увеличения числа уведомлений, которые могут оказаться избыточными», — добавила Пирс.
Регламент S-P не обновлялся с момента его принятия в 2000 году. В прошлом году SEC приняла новые правила, требующие от публичных компаний раскрывать утечки данных, которые существенно влияют или могут повлиять на бизнес, стратегию или финансовые результаты.
Поправки вступят в силу через 60 дней после публикации в Федеральном реестре. Крупные организации обязаны будут соблюдать новые требования через 18 месяцев после публикации, а малые организации — через 24 месяца.
- Источник новости
- www.securitylab.ru
