Gramm-Leach-Bliley Act (GLBA) antogs av kongressen 1999 och behandlade initialt modernisering av finansbranschen. Den fastställde också integritets- och säkerhetskrav för finansinstitut som hanterar information för sina kunders räkning. Även om GLBA-omfattningen är omfattande, fokuserar den här artikeln på dess reglering av datasäkerhetspraxis och hur en företagsomfattande lösenordshanterare underlättar efterlevnad.
Definierar den ändrade GLBA-regeln om skyddsåtgärder
Enligt Federal Trade Commission (FTC) kräver GLBA att finansiella institutioner – företag som erbjuder konsumenter finansiella produkter eller tjänster som lån, finansiell eller investeringsrådgivning eller försäkring – förklarar sina metoder för informationsutbyte för sina kunder och skyddar känsliga uppgifter. FTC fortsätter sedan med att förklara GLBA "Safeguards Rule", en del av lagen. Säkerhetsreglerna "kräver att företag som omfattas av utvecklingen, implementerar och underhåller ett informationssäkerhetsprogram med administrativa, tekniska och fysiska skyddsåtgärder utformade för att skydda kundinformation."
Den 9 juni 2023 trädde nya ändringar av skyddsregeln i kraft. I en omfattande artikel om förändringarna beskriver Reuters den ändrade säkerhetsregeln som "ett mer föreskrivande tillvägagångssätt" som "erkänner att omfattande informationssäkerhetsprogram måste ta hänsyn till storleken och komplexiteten hos användare/organisationer, arten och omfattningen av aktiviteterna och känsligheten hos all kundinformation."
Reuters-artikeln definierar ändringarna ytterligare. Även om vi uppmuntrar dig att läsa igenom alla krav, omfattar de på hög nivå följande:
Utse kvalificerade säkerhetspersoner: En individ - antingen intern eller tredje part - måste ansvara för att övervaka ett täckt finansinstituts informationssäkerhetsplan
Riskbedömningar: Finansinstitut som har kundinformation för 5K-kunder eller fler måste göra riskbedömningar
Åtkomstbegränsningar: Finansiella institutioner måste kunna visa att de kan begränsa användarnas (anställdas) åtkomst till kundinformation
Kryptering: Kundinformation måste krypteras under överföring och i vila
Utbildning: Alla anställda ska erbjudas säkerhetsutbildning
Incident Response Plans: Finansiella institutioner som har kundinformation för 5K kunder eller fler måste ha en incidentresponsplan på plats
Periodiska bedömningar: Finansiella institutioner som har kundinformation för 5K-kunder eller fler måste kunna visa att de kan bedöma effektiviteten av deras datasäkerhetsmetoder och potentiella hot; detta kan vara genom strategier som penetrationstestning
Dataminimering: Finansiella institutioner måste kunna visa att de har en strategi för att minimera kunddata som inte har använts eller nås på över två år
Branscher som ansvarar för att följa GLBA Safeguards Rule
FTC-anteckningar och avsnitt 314.2(h) listar exempelenheter inklusive hypotekslångivare, avlöningslångivare, finansbolag, hypoteksmäklare, kontoförmedlare, checkkassörer, banköverföringar, inkassobyråer, kreditrådgivare och andra finansiella rådgivare, skatteförberedande företag, icke-federalt försäkrade kreditföreningar som krävs för att registrera sig hos SEC, och hos de investeringsrådgivare som krävs.
Också inkluderade i denna lista - och läggs till som en del av ändringarna i skyddsregeln - är "finnare". Finders definieras som "ett företag som agerar som en hittare genom att sammanföra en eller flera köpare och säljare av någon produkt eller tjänst för transaktioner som parterna själva förhandlar om och fullbordar ... att agera som en hittare är en verksamhet som är av ekonomisk karaktär."
Med en så bred definition på plats är det troligt att vissa företag som tidigare satt utanför GLBA-regleringen nu - som "finnare" - kommer att behöva utveckla ett informationssäkerhetsprogram som skyddar kundinformation. De kan omfatta bilhandlare, möbelaffärer och andra företag som erbjuder finansiering från tredje part.
Lösenordshanteringens roll för att uppfylla GLBA-kraven
När man granskar ändringarna av GLBA Safeguards Rule är det uppenbart att den federala regeringen vill hålla finansiella institutioner ansvariga för att skydda kundinformation från interna och externa stölder och störningar. När man överväger detta blir behovet för finansinstitutioner att implementera ett företagsomfattande lösenordshanteringsprogram mycket tydligt.
Genom att göra det möjligt för anställda att skapa, hantera och lagra starka och unika lösenord, hjälper ett lösenordshanteringssystem som Bitwarden till att minska risken för dataintrång orsakade av svaga och återanvända lösenord. Bitwardens säkra delningsverktyg gör det möjligt för anställda att dela och hantera känslig data över sitt team och i hela organisationen. Bitwarden är krypterad från början till slut, användarvänlig och tillgänglig på flera plattformar och över webbläsare. Bitwarden erbjuder också tvåfaktorsautentisering (2FA), som stärker användarsäkerheten för webbplatser och applikationer genom att använda en andra metod (den första är lösenordet) för att verifiera identiteten. För anställda som hanterar känslig kundinformation är det extra skyddslagret som erbjuds av tvåfaktors-/multifaktorautentisering ett absolut måste.
Att helt enkelt distribuera programvara för lösenordshantering i en finansiell institution räcker inte för att möta behoven i GLBA Safeguards Act; som ovanstående förklaring klargör finns det ett antal informationssäkerhetsstrategier som bör implementeras. Men att kräva att anställda enhetligt använder en företagsomfattande lösenordshanterare är ett nödvändigt första steg och ett som kommer att gå långt för att främja en säkerhetscentrerad (och förhoppningsvis GLBA-kompatibel) kultur.
Kom igång med Bitwarden
Är du redo att förenkla din säkerhet med en lösning för lösenordshantering? Kom igång med en kostnadsfri affärstestperiod för att hjälpa ditt team att hålla sig säkra online, eller registrera dig snabbt för ett gratis individuellt konto.