Fournissez aux auditeurs une preuve des mesures prises pour assurer la confidentialité des informations sur les clients recueillies lors des transactions financières et les protéger contre les menaces et les accès non autorisés.
Adoptée en 1999, la loi Gramm-Leach-Bliley s’applique à la fois aux institutions financières et à toute entreprise qui offre aux consommateurs des produits ou services financiers (prêts, conseils financiers ou d’investissement, assurances, etc.)
Elle oblige les entreprises à expliquer à leurs clients leurs pratiques en matière de partage de l’information et à prouver aux auditeurs qu’elles prennent des mesures actives pour protéger les données sensibles.
La loi GLBA s’applique aux entreprises de toute taille qui fournissent des produits ou des services financiers à des fins personnelles, familiales ou domestiques et qui collectent des informations personnelles non publiques (NPI) sur les consommateurs.
Les entreprises soumises à la loi GLBA s’identifient comme des institutions financières ou reçoivent des NPI d’une institution financière en tant que tierce partie.
La loi GLBA ne s’applique pas lorsqu’une institution financière collecte des informations à des fins professionnelles ou commerciales, telles que des prêts commerciaux, des comptes chèques commerciaux et d’autres services B2B. La loi GLBA ne s’applique pas non plus aux informations collectées sur des personnes ne demandant pas de produit financier.
Toute information personnelle non publique ou NPI concernant les consommateurs et collectée par des entreprises offrant des services financiers est couverte par la loi.
Les NPI sont toutes les informations financières personnellement identifiables recueillies au sujet d’un individu, y compris:
La loi comporte trois sections principales, composées de deux règles et d’un ensemble de dispositions.
Pour être en conformité avec la loi GLBA, les institutions financières doivent:
Les principales implications de la loi GLBA en matière de protection des données sont décrites dans la règle de sauvegarde (Safeguards Rule), avec des exigences supplémentaires en matière de confidentialité et de sécurité publiées par la règle de confidentialité financière de la FTC.
La Safeguards Rule exige que les entreprises mettent en place des contrôles pour protéger, stocker et éliminer les informations relatives aux clients. Elle exige des entreprises qu’elles identifient les risques liés aux informations privées des consommateurs dans chaque domaine d’activité pertinent de l’entreprise, qu’elles évaluent l’efficacité des mesures de protection actuelles pour contrôler ces risques et qu’elles fournissent aux auditeurs la preuve que les mesures suivantes ont été prises.
Toutes les règles de la loi GLBA sont entrées en vigueur le 12 novembre 1999 et sont appliquées par la FTC, les agences bancaires fédérales et d’autres autorités réglementaires fédérales, ainsi que par les agences étatiques de surveillance des assurances.
Si une allégation de non-conformité à la loi GLBA est prouvée, les pénalités peuvent avoir des répercussions considérables sur l’entreprise, et même sur la vie privée. Les sanctions pour non-conformité comprennent:
Respectez la Saveguards Rule de la loi GLBA grâce à la découverte automatisée des données sensibles réglementées par la loi GLBA dans toutes les sources de données, à la mise en application des politiques et au droit à l’oubli.
Qohash fournit un inventaire complet des données non structurées, sensibles et réglementées par la loi GLBA. Qohash découvre les données sensibles 50 fois plus vite que les autres solutions, sur n’importe quelle source de données, en tout lieu.
Qohash permet l’étiquetage, la classification, les recherches personnalisées par RegEx et par mot-clé, ainsi que le classement et la contextualisation des risques. Toutes les fonctionnalités sont offertes à un tarif fixe et unique – aucun serveur sur site n’est nécessaire.
La loi GLBA exige que les entreprises « notent les endroits où les données sont collectées, stockées ou transmises » avec une « liste précise de tous les systèmes, dispositifs, plateformes et personnels ».
Fournissez aux auditeurs la preuve que les données sensibles sont surveillées et associées aux interactions des employés, afin de permettre l’application des politiques en temps réel.
Qohash examine les fichiers pour suivre les éléments de données, puis surveille ces éléments et les associe aux employés et aux lieux. Sachez à quel moment un employé a une interaction risquée avec des données sensibles. Tracez l’historique de tout élément de données qui se déplace sur les postes de travail ou sur OneDrive pour une remédiation plus rapide.
Le contenu de l’avis de confidentialité 8.h. exige la preuve des « politiques de protection de la confidentialité, de la sécurité et de l’intégrité des informations personnelles non publiques des clients ».
Créez rapidement une liste de contrôle d’accès de toutes les données réglementées par la loi GLBA. Fournissez des preuves des restrictions et montrez que vous évaluez régulièrement si les personnes ayant accès ont un besoin professionnel légitime.
Contenu de l’avis de confidentialité 14.a exige la preuve du processus permettant de réglementer « qui a accès au NPI ».
Voyez quand les fichiers ont été consultés pour la dernière fois dans les sites locaux, dans le cloud et sur les postes de travail. Supprimez des données directement dans l’outil pour démontrer la conformité avec les demandes de suppression de données à n’importe quel endroit, y compris sur les postes de travail.
La loi GLBA exige l’élimination sécurisée des « informations sur les clients au plus tard deux ans après leur utilisation la plus récente pour servir le client ».
Fournissez aux autorités de réglementation des preuves de l’application des politiques en temps réel, dès qu’un comportement à risque se produit. Le suivi des éléments de données sensibles, associé aux données d’interaction et de localisation des employés, permet d’agir immédiatement en cas d’accumulation, de suppression ou d’exfiltration contraire aux politiques.
Le contenu de l’avis de confidentialité 14. b. demande des preuves des « pratiques de sécurité pour assurer la confidentialité du NPI conformément à la politique de l’institution ».
Évaluez et traitez les risques pour vous préparer à passer l’audit de la loi GLBA. L’étape fondamentale de l’évaluation des risques consiste à connaître la quantité de données sensibles présentes sur les systèmes de l’entreprise et les personnes qui y ont accès, et à identifier les points d’exposition critiques. Classifiez les données et surveillez les interactions des employés avec ces données pour appliquer les politiques en temps réel.
La loi GLBA exige que les risques potentiels soient identifiés et évalués en permanence.
Découvrez comment vous pouvez tenir un inventaire des données réglementées par la loi GLBA et fournir aux autorités réglementaires la preuve d’une surveillance des données en continu, du traitement des demandes de droit à l’oubli aux points d’extrémité et de l’application des politiques.
Téléchargez un fichier pour découvrir le moteur d’analyse turbo de Qostodian.
Découvrez la plateforme de sécurité des données qui scanne les éléments de données et croise les comportements des utilisateurs pour vous aider à assurer la conformité et à identifier les risques liés aux données sensibles.
La plateforme Qostodian de Qohash trouve, inventorie et surveille en permanence les éléments de données individuels sur les postes de travail, les disques attachés et partagés, et les applications cloud Microsoft 365.
Qostodian surveille les éléments de données et le comportement des employés en permanence, ce qui rend l’identification des risques, la remédiation et la conformité plus rapides et plus faciles. Des institutions financières telles que Desjardins et Beneva tirent parti de la technologie inédite de Qohash pour surveiller les employés à risque et contrôler des milliers de postes de travail. Les équipes de sécurité de l’information effectuent des recherches sur les éléments de données et exploitent la fonctionnalité de propagation des données pour connaître l’étendue d’un incident en quelques millisecondes. Les analystes de la sécurité peuvent voir chaque employé et chaque lieu où se trouve une carte de crédit, un compte bancaire ou tout autre type d’information sensible en un seul clic.
Surveillez les interactions des employés avec les données sensibles en tout temps, grâce à une plateforme de sécurité des données SaaS moderne et intuitive, offerte pour un coût unique et prévisible.
