Федеральная торговая комиссия США (ФТК) внесла изменения в правила Safeguards Rules, обязывающие все небанковские финансовые организации сообщать об инцидентах, связанных с утечкой данных, в течение 30 дней.
К таким организациям относятся ипотечные брокеры, дилеры автотранспортных средств, кредитные организации, инвестиционные компании, страховые компании, одноранговые кредиторы и фирмы по управлению активами.
Данное требование дополняет правило Safeguards Rule, направленное на усиление мер безопасности данных для защиты информации о клиентах и усиление обязательств по соблюдению нормативных требований.
Оно распространяется на инциденты безопасности, затрагивающие 500 и более потребителей, особенно если неавторизованные третьи лица получили доступ к незашифрованной информации.
"Компании, которым доверяют конфиденциальную финансовую информацию, должны быть прозрачными, если эта информация была скомпрометирована", - заявил директор Бюро по защите прав потребителей FTC Сэмюэл Левин (Samuel Levine).
"Добавление этого требования к раскрытию информации в Правило о гарантиях должно стать для компаний дополнительным стимулом для защиты данных потребителей".
Требование об уведомлении не распространяется на случаи, когда потребительская информация зашифрована, если злоумышленники не получили доступ к ключу шифрования.
Уведомление о нарушении должно быть подано на онлайновый портал FTC и должно содержать такие подробности об инциденте безопасности, как:
- Название и контактную информацию организации, сообщившей об инциденте.
- Количество пострадавших и потенциально затронутых потребителей.
- Описание типов данных, подвергшихся потенциальному воздействию.
- Дата раскрытия и, если возможно определить, продолжительность инцидента.
- Подтверждение того, сообщили ли правоохранительные органы о том, что публичное раскрытие информации об инциденте может помешать расследованию или угрожать национальной безопасности.
Агентство добавило положение о 60-дневной отсрочке, если представитель правоохранительных органов потребует продления срока публичного раскрытия информации о конкретном инциденте.
FTC подчеркивает, что подача сообщения об утечке данных не означает автоматического нарушения Правила о гарантиях, а также не гарантирует проведения расследования или принятия мер.
Новое требование об уведомлении вступит в силу через 180 дней после публикации правила в Федеральном реестре, таким образом, правило должно применяться с апреля 2024 года.
Более подробно о поправках и процессе их разработки на основе отзывов, полученных FTC от заинтересованных сторон, можно прочитать в этом документе.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!