Η Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ (FTC) τροποποίησε τους Κανόνες Διασφαλίσεων, επιβάλλοντας σε όλα τα μη τραπεζικά χρηματοπιστω
τι
κά ιδρύματα να αναφέρουν περιστατικά παραβίασης δεδομένων εντός 30 ημερών.
Τέτοιες οντότητες περιλαμβάνουν μεσίτες ενυπόθηκων δανείων, αντιπροσώπους αυτοκινήτων, δανειστές ημέρας πληρωμής, εταιρείες επενδύσεων, ασφαλιστικές εταιρείες, δανειστές peer-to-peer και εταιρείες διαχείρισης περιουσιακών στοιχείων.
Αυτή η απαίτηση προστίθεται στον Κανόνα Διασφαλίσεων, με στόχο τη βελτίωση των μέτρων ασφάλειας δεδομένων για την προστασία των πληροφοριών των πελατών και την ενίσχυση των υποχρεώσεων συμμόρφωσης.
Ισχύει για συμβάντα ασφαλείας που επηρεάζουν 500 ή περισσότερους καταναλωτές, ειδικά εάν μη εξουσιοδοτημένα τρίτα μέρη είχαν πρόσβαση σε μη
κρυπτο
γραφημένες πληροφορίες (cleartext).
“Οι εταιρείες στις οποίες εμπιστεύονται ευαίσθητες οικονομικές πληροφορίες πρέπει να είναι διαφανείς εάν αυτές οι πληροφορίες έχουν παραβιαστεί.”
δηλωθείς
Ο Διευθυντής του Γραφείου Προστασίας των Καταναλωτών της FTC, Samuel Levine.
“Η προσθήκη αυτής της απαίτησης γνωστοποίησης στον Κανόνα Διασφαλίσεων θα παρέχει στις εταιρείες πρόσθετο κίνητρο για την προστασία των δεδομένων των καταναλωτών.”
Η απαίτηση ειδοποίησης δεν ισχύει για περιπτώσεις όπου οι πληροφορίες των καταναλωτών είναι κρυπτογραφημένες, εφόσον οι εισβολείς δεν είχαν πρόσβαση στο κλειδί κρυπτογράφησης.
Οι εταιρείες που παραβιάζουν την ειδοποίηση πρέπει να υποβάλλονται στην ηλεκτρονική πύλη της FTC και πρέπει να περιλαμβάνουν λεπτομέρειες σχετικά με το συμβάν ασφαλείας, όπως:
- Όνομα και στοιχεία επικοινωνίας του ιδρύματος αναφοράς.
- Αριθμός επηρεαζόμενων καταναλωτών και εκείνων που ενδέχεται να επηρεαστούν από αυτόν.
- Περιγραφή των τύπων δεδομένων που έχουν δυνητικά εκτεθεί.
- Ημερομηνία έκθεσης και, εάν είναι δυνατόν να προσδιοριστεί, η διάρκεια του συμβάντος.
-
Επιβεβαίωση εάν οι αρχές επιβολής του νόμου ενημέρωσαν ότι η δημόσια
αποκάλυψη
της παραβίασης θα μπορούσε να εμποδίσει μια έρευνα ή να απειλήσει την εθνική ασφάλεια.
Η υπηρεσία έχει προσθέσει μια διάταξη για καθυστέρηση 60 ημερών σε περίπτωση που ένας αξιωματούχος επιβολής του νόμου ζητήσει παράταση στη δημόσια αποκάλυψη ενός συγκεκριμένου περιστατικού.
Η FTC τονίζει ότι η υποβολή αναφοράς παραβίασης δεδομένων δεν συνεπάγεται αυτόματα παραβίαση του Κανόνα Διασφαλίσεων, ούτε διασφαλίζει μια έρευνα ή δράση επιβολής.
Η νέα απαίτηση ειδοποίησης θα τεθεί σε ισχύ 180 ημέρες μετά τη δημοσίευση του κανόνα στο Ομοσπονδιακό Μητρώο, επομένως ο κανόνας θα πρέπει να ισχύει από τον Απρίλιο του
2024
.
Για περισσότερες λεπτομέρειες σχετικά με τις τροποποιήσεις και τη διαδικασία ανάπτυξής τους με βάση τα σχόλια που έλαβε η FTC από τα ενδιαφερόμενα μέρη,
μπορείτε να διαβάσετε αυτό το έγγραφο
.
VIA:
bleepingcomputer.com