Η Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ (FTC) έκανε κάποιες τροποποιήσεις στα Safeguards Rules, επιβάλλοντας σε όλα τα μη τραπεζικά, χρηματοπιστωτικά ιδρύματα να αναφέρουν πιθανές παραβιάσεις δεδομένων εντός 30 ημερών.
Τέτοιες χρηματοπιστωτικές οντότητες (όχι τράπεζες) περιλαμβάνουν πιστωτές ενυπόθηκων δανείων, αντιπροσωπείες αυτοκινήτων, payday lenders, εταιρείες επενδύσεων, ασφαλιστικές εταιρείες, δανειστές peer-to-peer και εταιρείες διαχείρισης περιουσιακών στοιχείων.
Στόχος αυτής της τροποποίησης και της έγκαιρης ενημέρωσης εντός 30 ημερών είναι η βελτίωση των μέτρων ασφάλειας δεδομένων για την προστασία των πληροφοριών των πελατών.
Δείτε επίσης: LastPass: Προηγούμενη παραβίαση επέτρεψε την κλοπή crypto αξίας $4,4 εκατ.
Ο νέος κανονισμός θα πρέπει να εφαρμόζεται σε συμβάντα ασφαλείας και παραβιάσεις δεδομένων που επηρεάζουν 500 ή περισσότερους καταναλωτές, ειδικά εάν μη εξουσιοδοτημένα τρίτα μέρη είχαν πρόσβαση σε μη κρυπτογραφημένες πληροφορίες (cleartext).
“Οι εταιρείες που διαχειρίζονται ευαίσθητες οικονομικές πληροφορίες πρέπει να είναι “διαφανείς“, εάν αυτές οι πληροφορίες έχουν παραβιαστεί“, δήλωσε ο Διευθυντής του Γραφείου Προστασίας Καταναλωτών της FTC, Samuel Levine.
“Η προσθήκη αυτής της απαίτησης γνωστοποίησης στον Safeguards Rule θα παρέχει στις εταιρείες πρόσθετο κίνητρο για την προστασία των δεδομένων των καταναλωτών“, είπε ακόμα.
Η ειδοποίηση δεν θα είναι απαραίτητη αν οι πληροφορίες των καταναλωτών είναι κρυπτογραφημένες και οι εισβολείς δεν έχουν πρόσβαση στο κλειδί κρυπτογράφησης.
Οι εταιρείες που έχουν υποστεί παραβίαση δεδομένων και πληρούν τα παραπάνω κριτήρια, πρέπει να υποβάλουν την ειδοποίηση στην ηλεκτρονική πύλη της FTC, δίνοντας κάποια στοιχεία σχετικά με το συμβάν ασφαλείας:
- Όνομα και στοιχεία επικοινωνίας του οργανισμού.
- Αριθμός επηρεαζόμενων καταναλωτών και εκείνων που ενδέχεται να επηρεαστούν.
- Περιγραφή των τύπων δεδομένων που έχουν δυνητικά εκτεθεί.
- Ημερομηνία έκθεσης και, εάν είναι δυνατόν να προσδιοριστεί, η διάρκεια του συμβάντος.
- Επιβεβαίωση σχετικά με το αν οι αρχές επιβολής του νόμου θεωρούν ότι η δημόσια αποκάλυψη της παραβίασης θα μπορούσε να εμποδίσει μια έρευνα ή να απειλήσει την εθνική ασφάλεια.
Τα χρηματοπιστωτικά ιδρύματα που έχουν επηρεαστεί από παραβίαση δεδομένων θα μπορούν να καθυστερήσουν την ενημέρωση 60 ημέρες, σε περίπτωση που ένας αξιωματούχος επιβολής του νόμου ζητήσει παράταση για τη δημόσια αποκάλυψη του συγκεκριμένου περιστατικού.
Δείτε επίσης: Boeing: Αξιολογεί ισχυρισμούς για παραβίαση από το LockBit ransomware
Η FTC τονίζει ότι η υποβολή αναφοράς παραβίασης δεδομένων δεν συνεπάγεται αυτόματα παραβίαση του Safeguards Rule, ούτε εκκίνηση μιας έρευνας.
Η νέα απαίτηση για ειδοποίηση εντός 30 ημερών θα τεθεί σε ισχύ 180 ημέρες μετά τη δημοσίευση του κανόνα στο Federal Register. Αυτό σημαίνει, ο νέος κανονισμός θα ισχύει από τον Απρίλιο του 2024.
Για περισσότερες λεπτομέρειες σχετικά με τις τροποποιήσεις, μπορείτε να διαβάσετε αυτό το έγγραφο.
Γιατί είναι σημαντική η ενημέρωση για παραβίαση δεδομένων;
Οι δυνητικές συνέπειες μιας παραβίασης δεδομένων σε μια χρηματοπιστωτική οντότητα μπορεί να είναι σοβαρές και επηρεάζουν τόσο τον ίδιο τον οργανισμό όσο και τους πελάτες.
Μια από τις πιο σημαντικές επιπτώσεις μιας παραβίασης δεδομένων είναι η απώλεια εμπιστοσύνης των πελατών. Οι πελάτες μπορεί να ανησυχήσουν για την ασφάλεια των προσωπικών τους δεδομένων και να αποφασίσουν να μην συνεχίσουν να χρησιμοποιούν τις υπηρεσίες του οργανισμού.
Επιπλέον, οι παραβιάσεις δεδομένων μπορούν να οδηγήσουν σε οικονομικές απώλειες. Οι διαρροές προσωπικών πληροφοριών και χρηματοοικονομικών δεδομένων μπορούν να οδηγήσουν σε αποζημιώσεις, απώλεια εσόδων και ακόμα και απώλεια μεριδίων αγοράς.
Δείτε επίσης: Redcliffe Labs: Παραβίαση δεδομένων εκθέτει 12 εκατομμύρια αρχεία ασθενών
Επιπλέον, οι παραβιάσεις δεδομένων μπορούν να έχουν αντίκτυπο στην επικοινωνία και τη φήμη της οργάνωσης. Οι αρνητικές ειδήσεις σχετικά με μια παραβίαση δεδομένων μπορούν να επηρεάσουν την αντίληψη του κοινού για την εταιρεία και να προκαλέσουν μείωση της εμπιστοσύνης και της επιχειρηματικής αξίας της.
Τέλος, οι παραβιάσεις δεδομένων μπορούν να έχουν νομικές συνέπειες. Οι κυβερνητικές ρυθμίσεις για την προστασία των προσωπικών δεδομένων μπορούν να επιβάλουν πρόστιμα και κυρώσεις σε περίπτωση παραβίασης, ενώ οι πελάτες μπορεί να προβάλουν αξιώσεις για αποζημίωση σε περίπτωση παραβίασης των προσωπικών τους δεδομένων.
Πηγή: www.bleepingcomputer.com
