خوش آمدید به بررسی جامعی از قانون گرام-لیچ-بلایی (GLBA) – یک محافظ حریم خصوصی مصرف‌کنندگان و امنیت داده در بخش مالی در ایالات متحده. با درک جزئیات و اجرای الزامات آن، مؤسسات مالی می‌توانند اعتماد مشتریان را بسازند و مطمئن شوند که اطلاعات شخصی غیرعمومی آن‌ها محفوظ می‌ماند.

بیاهم به اصلی‌ترین بخش‌های GLBA بپردازیم: هدف، دامنه و چگونگی اجرای موسسات این قانون به منظور اطمینان از پیروی از آن و تقویت دفاع‌های داده‌ای خود.

 

GLBA چیست؟

قانون GLBA که در سال ۱۹۹۹ تصویب شد، یک قانون فدرال است که به بهبود و حفظ حریم خصوصی مصرف کنندگان و امنیت داده‌ها برای مؤسسات مالی می‌پردازد. تمرکز اصلی این قانون بر حفاظت از اطلاعات شخصی غیرعمومی (NPI) نگهداشته شده توسط مؤسسات مالی است.

 

سه بخش اصلی GLBA را تشکیل می دهند. در اینجا توضیحات مختصر آنها (به همراه مثال) آمده است:

       1. قانون حفظ حریم خصوصی مالی:

این قانون تماماً در مورد شفافیت و کنترل افراد بر اطلاعات مالی خود است. مؤسسات مالی تحت پوشش GLBA باید اخطارهای حریم خصوصی واضحی را به مشتریان ارائه دهند و توضیح دهند که چه داده‌هایی جمع‌آوری می‌شوند، چگونه استفاده می‌شوند و با چه کسانی به اشتراک گذاشته می‌شوند. مشتریان همچنین حق دارند از اشتراک گذاری اطلاعات خود با اشخاص ثالث غیروابسته خودداری کنند. در اینجا یک مثال برای تجزیه آن آورده شده است:

• مشتری در یک بانک حساب باز کرده است. به عنوان بخشی از این فرآیند، بانک به مشتری یک اخطار واضح می دهد که توضیح می دهد چه اطلاعاتی را از مشتری جمع آوری می کند، مانند نام، آدرس، و جزئیات تراکنش. آنها همچنین به آنها می گویند که چگونه از آن استفاده کنند (مانند پردازش تراکنش ها و جلوگیری از تقلب). و مهمتر از همه، بانک به مشتری اجازه می دهد تا بداند چگونه می تواند از اشتراک گذاری اطلاعات خود با اشخاص ثالث انصراف دهد.

 

       2. قانون پادمان:

این قانون مانند یک نگهبان برای داده های شخصی جمع آوری شده توسط مؤسسات مالی است. این سازمان‌ها را موظف می‌کند که تحت محدوده GLBA قرار می‌گیرند تا فرآیندهای جامع امنیت داده‌ها را اجرا کنند که NPI را از دسترسی غیرمجاز محافظت می‌کند. این قانون بر اهمیت تداوم کسب و کار و برنامه های بازیابی فاجعه برای مقابله با نقض داده ها تأکید می کند. این مثال را در نظر بگیرید:

• فرض کنید شما یک اتحادیه اعتباری هستید که اطلاعات مشتریان زیادی را مدیریت می کند. قانون پادمان می گوید که باید یک طرح امنیتی ایجاد کنید. این می‌تواند شامل استفاده از رمزگذاری برای اطمینان از اینکه فقط افراد مجاز می‌توانند به داده‌ها دسترسی داشته باشند، تنظیم رمزهای عبور قوی و کنترل‌های دسترسی، و آموزش کارمندان در مورد نحوه شناسایی و جلوگیری از نقض داده‌ها باشد. شما همچنین به یک برنامه بهبودی واضح نیاز دارید که در صورت لزوم فوراً قابل اجرا باشد.

 

    3. مفاد بهانه سازی:

بهانه سازی، شکلی از مهندسی اجتماعی، شامل فریب دادن افراد برای افشای اطلاعات ارزشمند از طریق داستان های ساختگی است. GLBA استفاده یا اجازه دادن به بهانه برای دریافت اطلاعات مشتری را برای مؤسسات مالی غیرقانونی می کند. آنها همچنین باید اقدامات فعالی را برای جلوگیری از آن انجام دهند، مانند آموزش کارکنان و تأیید کامل هر کسی که اطلاعاتی را درخواست می کند. بیایید نمونه ای از بهانه گیری را ببینیم:

• سناریویی را تصور کنید که در آن یک مجرم سایبری یک اتحادیه اعتباری کوچک را هدف قرار می دهد. مجرم تحقیقاتی انجام می دهد و متوجه می شود که اتحادیه اعتباری اخیراً تحت یک ارتقاء سیستم قرار گرفته است. با داشتن این      اطلاعات، مجرم با خط پشتیبانی مشتری اتحادیه اعتبار تماس می گیرد که به عنوان نماینده پشتیبانی فنی از تیم ارتقاء سیستم ظاهر می شود و توضیح می دهد که آنها باید برخی از جزئیات حساب را تأیید کنند تا اطمینان حاصل شود  که ارتقا به خوبی انجام شده است. مجرم اطلاعات مختلفی از مشتری مانند نام کامل، شماره حساب و حتی شماره تامین اجتماعی را درخواست می کند. با داده های جمع آوری شده، مجرم به حساب های مشتری دسترسی پیدا    می کند و تراکنش های غیرمجاز را آغاز می کند.

مفاد بهانه سازی GLBA صراحتاً استفاده از بهانه سازی را برای دسترسی به اطلاعات مشتری که توسط مؤسسات مالی نگهداری می شود ممنوع می کند، مانند مورد در مثال. کارمندان اتحادیه اعتباری ملزم به رعایت رویه های سختگیرانه هنگام رسیدگی به داده های مشتری هستند، از جمله تأیید هویت افرادی که اطلاعات حساس را درخواست می کنند.

 

مصرف کنندگان در مقابل مشتریان: تفاوت چیست؟

در GLBA بین مصرف کنندگان و مشتریان تمایز وجود دارد. مشتریان، بر خلاف مصرف کنندگان، روابط مستمر با یک موسسه مالی را حفظ می کنند.

فرض کنید جین برای یک کارت اعتباری از بانک A درخواست می‌کند. از آنجایی که او به دنبال خدمات مالی از بانک است، اما ارتباط مستمری با آنها فراتر از این درخواست ندارد، او یک مصرف‌کننده محسوب می‌شود.

هنگامی که جین برای کارت اعتباری بانک A تأیید شد، شروع به استفاده از آن برای تراکنش ها می کند. او از طریق این حساب کارت اعتباری با بانک ارتباط مستمر برقرار کرده است. در این صورت جین مشتری می شود زیرا رابطه مستمری با موسسه دارد.

یا، بگذارید اینطور بیان کنیم:

در حالی که همه مشتریان مصرف‌کننده هستند، همه مصرف‌کنندگان مشتری نمی‌شوند مگر اینکه رابطه طولانی‌تر و صمیمی‌تری با یک موسسه مالی برقرار کنند. جای تعجب نیست که الزامات سختگیرانه تری برای حفظ حریم خصوصی داده ها برای مشتریان اعمال می شود. به عنوان مثال، فقط مشتریان به طور خودکار از حقوق انصراف برخوردار هستند، در حالی که مصرف کنندگان فقط در شرایط خاص این حق را دارند.

 

دامنه GLBA: برای چه کسانی اعمال می شود؟

GLBA شبکه گسترده ای را بر موسسات و نهادهای مالی مختلف که یا در ایالات متحده فعالیت می کنند یا مشتریانی در ایالات متحده دارند، پرتاب می کند. مجموعه ای از موسسات مالی را در بر می گیرد، مانند:

• بانک ها و اتحادیه های اعتباری
• دلالان وام مسکن
• شرکت های بیمه
• شرکت های اوراق بهادار
• مشاوران سرمایه گذاری
• وام دهندگان و کارگزاران وام مسکن
• تهیه کنندگان مالیات
• آژانس های گزارش مصرف کننده

 

هدف GLBA: حریم خصوصی، امنیت و اعتماد

در این عصر دیجیتال که تراکنش‌های مالی آنلاین انجام می‌شود و اطلاعات شخصی یک دارایی فوق‌العاده ارزشمند است، GLBA به عنوان محافظ داده‌ها و حریم خصوصی در ایالات متحده برجسته می‌شود. هر یک از مؤلفه های کلیدی GLBA نقش مهمی در حصول اطمینان از اینکه مؤسسات مالی با دقت به داده های شخصی رسیدگی می کنند، ایفا می کند.

ماموریت GLBA روشن است:

محافظت و توانمندسازی افراد، تقویت شیوه‌های امنیتی داده‌ها توسط مؤسسات مالی، و اطمینان از یکپارچگی صنعت مالی.

افزایش حریم خصوصی مصرف کننده

در هسته خود، GLBA به افراد این قدرت را می دهد که تصمیم بگیرند چگونه اطلاعات شخصی آنها توسط موسسات مالی جمع آوری و استفاده شود. قانون حفظ حریم خصوصی مالی می‌گوید. این شرکت‌ها باید اطلاعات حریم خصوصی واضحی را به افراد بدهند، به آن‌ها بگویند که چگونه از داده‌هایشان استفاده می‌شود و به آن‌ها اجازه دهند برای به اشتراک گذاشتن با دیگران «نه تشکر» کنند.

این به افراد قدرت می‌دهد تا سطحی از کنترل بر داده‌های شخصی خود را حفظ کنند و اعتماد به مؤسساتی را که اطلاعات آنها را در اختیار دارند تقویت می‌کند.

 

تقویت امنیت داده ها

فراتر از حریم خصوصی، GLBA تاکید زیادی بر حفاظت از امنیت و یکپارچگی اطلاعات شخصی غیر عمومی دارد. قانون پادمان اطمینان می دهد که مؤسسات مالی برنامه های امنیتی محکمی برای NPI ایجاد می کنند. این به معنای استفاده از اقدامات قوی مانند رمزگذاری، کنترل‌های دسترسی، و آموزش برای جلوگیری از تهدیدات سایبری و نقض اطلاعات است که می‌تواند محرمانه بودن داده‌های شخصی را به خطر بیندازد.

تقویت اعتماد مصرف کننده

هدف GLBA با ایجاد دستورالعمل های روشن برای حفاظت از داده ها و حریم خصوصی، تقویت اعتماد مصرف کننده در صنعت مالی است. وقتی افراد اطلاعات شخصی و مالی خود را به موسسات می سپارند، با این توقع انجام می دهند که داده های آنها مسئولانه و ایمن رسیدگی شود. مقررات و پادمان های GLBA چارچوب لازم برای القای این اعتماد را فراهم می کند و مصرف کنندگان را قادر می سازد تا با خیال راحت در معاملات مالی شرکت کنند.

نحوه رعایت مقررات GLBA

پیروی از GLBA نیازمند یک رویکرد استراتژیک است. در اینجا یک طرح کلی گام به گام وجود دارد که به سازمان شما کمک می کند تا در مسیر انطباق حرکت کند:

 

مرحله 1: شناسایی و محافظت از NPI

تمام NPI ها را در سازمان خود شناسایی کنید.
اجرای کنترل های دسترسی برای محدود کردن دسترسی کارکنان به NPI بر اساس مسئولیت های شغلی. رویکرد Zero Trust را در نظر بگیرید که دقیقاً همان چیزی است که به نظر می رسد: هیچ کس برای دسترسی به آن تا زمانی که لازم نباشد مورد اعتماد نیست.
NPI را در حین انتقال و ذخیره سازی برای جلوگیری از دسترسی غیرمجاز رمزگذاری کنید.

مرحله 2: یک سیاست امنیتی جامع ایجاد کنید

یک طرح امنیتی مکتوب ایجاد کنید که در آن جزئیات نحوه محافظت موسسه شما از NPI ارائه شود. پیروی از استاندارد بین المللی ISO 27001 یک راه مطمئن برای ایجاد یک سیستم مدیریت امنیت اطلاعات موثر است.
یک فرد یا تیم مسئول نظارت بر برنامه امنیتی را تعیین کنید.
برای شناسایی آسیب‌پذیری‌ها و کاهش تهدیدات احتمالی، ارزیابی‌های ریسک منظم را انجام دهید.

مرحله 3: اعلامیه های حفظ حریم خصوصی و انصراف ها را ارائه دهید

اعلامیه‌های حریم خصوصی واضح و مختصر ایجاد کنید که مشتریان را در مورد شیوه‌های اشتراک‌گذاری اطلاعات مؤسسه‌تان آگاه کند.
به مشتریان اجازه دهید از اشتراک‌گذاری NPI خود با اشخاص ثالث غیروابسته خودداری کنند.
فرآیندی را برای احترام به درخواست های انصراف مشتری به موقع اجرا کنید.

 

مرحله 4: کارمندان را آموزش دهید

ارائه آموزش های جامع به کارکنان در مورد الزامات GLBA، شیوه های امنیت داده ها، و اهمیت حفظ حریم خصوصی مشتری.
به طور منظم کارمندان را در مورد تهدیدات در حال ظهور و بهترین شیوه ها برای محافظت از داده ها به روز کنید.

 

مرحله 5: به طور منظم فرآیندها را نظارت و به روز کنید

نظارت مستمر بر اثربخشی برنامه امنیتی خود انجام دهید و در صورت نیاز تنظیم کنید.
در مورد تغییرات الزامات نظارتی و استانداردهای صنعتی که می تواند بر سازمان شما تأثیر بگذارد مطلع باشید.

 

اجرای GLBA و مجازات

وقتی صحبت از GLBA به میان می آید، انطباق فقط یک پیشنهاد نیست – یک امر ضروری است. موسسات مالی که این مقررات را جدی نمی گیرند، ممکن است خود را در آب داغ بیابند.

GLBA در مورد جریمه ها به هم نمی خورد. اگر یک موسسه مالی مقررات خود را نقض کند، جریمه ها می تواند سنگین باشد. به ازای هر تخلف، یک شرکت می تواند تا 100000 دلار جریمه شود. و این همه ماجرا نیست – افرادی که مسئول عدم رعایت این موارد هستند، مانند افسران شرکت یا اعضای هیئت مدیره، ممکن است برای هر تخلف تا 10000 دلار جریمه شوند. تصور کنید برای آن مبلغ صورتحساب دریافت می کنید زیرا سازمان شما قوانین را رعایت نکرده است!

و این فقط در مورد پول نیست – عدم رعایت می تواند منجر به مشکلات قانونی نیز شود. افرادی که جریمه شدند ممکن است به دلیل عدم پایبندی به GLBA با 5 سال زندان نیز مواجه شوند.

برای مؤسسات مالی، پایبندی دقیق به GLBA نشان می‌دهد که آنها امنیت داده‌ها را جدی می‌گیرند و به دور نگه داشتن اطلاعات شخصی از خطر می‌پردازند. بنابراین، اگر یک مؤسسه مالی هستید، به یاد داشته باشید که پیروی از GLBA فقط برای اجتناب از جریمه نیست – بلکه در مورد حفظ شهرت و آرامش خاطر مشتریانتان است.

نقش Safetica در انطباق با GLBA

نرم افزار Safetica’s Data Loss Prevention (DLP) (مانند Safetica ONE یا Safetica NXT) یک راه حل قوی اما با کاربری آسان برای مؤسسات مالی ارائه می دهد که برای انطباق با GLBA تلاش می کنند. در اینجا آمده است که چگونه Safetica می تواند متحد مورد اعتماد شما در حفاظت از داده ها باشد:

حفاظت از داده های حساس: Safetica NPI را در سراسر سازمان شما شناسایی و نظارت می کند و از دسترسی، اشتراک گذاری یا نشت غیرمجاز جلوگیری می کند.
تجزیه و تحلیل رفتار کاربر: Safetica فقط بر روی داده ها در حالت استراحت تمرکز نمی کند. همچنین به نحوه استفاده از داده ها توجه می کند. با تجزیه و تحلیل الگوهای رفتاری کاربر، می‌تواند فعالیت‌های غیرمعمول یا خطرناکی را که ممکن است NPI را در معرض خطر قرار دهد، شناسایی کند.
رمزگذاری و کنترل های دسترسی: Safetica تضمین می کند که NPI در حین انتقال و ذخیره سازی رمزگذاری شده است، در حالی که کنترل های دسترسی، قرار گرفتن در معرض داده ها را فقط برای پرسنل مجاز محدود می کند.
پاسخ به حادثه: Safetica به شما در مورد هرگونه جابجایی اطلاعات مشکوک یا دسترسی غیرمجاز در زمان واقعی هشدار می‌دهد و واکنش سریع حادثه را امکان‌پذیر می‌کند و از نقض احتمالی جلوگیری می‌کند.

با راه حل های DLP Safetica، موسسات مالی می توانند امنیت داده های خود را افزایش دهند، خطرات حفظ حریم خصوصی را کاهش دهند، مطابق با GLBA باشند و از حریم خصوصی اطلاعات شخصی افراد محافظت کنند. این یک برد-برد-برد است!