30 дней на оповещение: SEC ужесточает контроль над утечками данных

Комиссия по ценным бумагам и биржам США (SEC) ввела новые правила, согласно которым финансовые учреждения должны сообщать об утечках данных в течение 30 дней с момента их обнаружения.

15 мая SEC приняла поправки к Регламенту S-P, регулирующему обращение с персональными данными потребителей. Теперь учреждения обязаны уведомлять пострадавших «как можно скорее, но не позднее 30 дней» после выявления несанкционированного доступа к данным. Эти требования распространяются на инвестиционные компании, финансовых брокеров, зарегистрированных инвестиционных консультантов и трансфер-агентов.

«За последние 24 года природа, масштаб и влияние утечек данных существенно изменились», — отметил председатель SEC Гэри Генслер. «Эти поправки обновят правила, принятые в 2000 году, и помогут защитить конфиденциальность финансовых данных клиентов».

Уведомления должны содержать подробную информацию о происшествии, какие данные были скомпрометированы и как пострадавшие могут себя защитить. Однако, согласно одному из положений, учреждения могут не уведомлять клиентов, если установят, что личная информация не была использована таким образом, который мог бы привести к «значительному вреду или неудобствам».

Поправки требуют от учреждений разработать, внедрить и поддерживать письменные политики и процедуры, направленные на обнаружение, реагирование и восстановление после несанкционированного доступа к информации клиентов. Кроме того, поправки также:

• Расширяют и согласовывают правила безопасности и уничтожения данных, чтобы охватить как информацию о собственных клиентах учреждения, так и информацию, полученную от других финансовых организаций.
• Обязывают учреждения, кроме порталов финансирования, вести письменную документацию по соблюдению правил безопасности и уничтожения данных.
• Приводят положения об ежегодном уведомлении о конфиденциальности в соответствие с условиями исключения, добавленного FAST Act, согласно которому учреждения не обязаны доставлять ежегодное уведомление, если выполняются определённые условия.
• Распространяют правила безопасности и уничтожения данных на трансфер-агентов, зарегистрированных в SEC или другом соответствующем регулирующем органе.

Новые требования также охватывают личную информацию, полученную от других финансовых учреждений.

Хестер Пирс, комиссар SEC, выразила обеспокоенность, что новые требования могут оказаться чрезмерными. «Сегодняшнее обновление Регламента S-P поможет учреждениям правильно расставлять приоритеты в защите информации клиентов», — отметил комиссар.

«Клиенты будут своевременно уведомлены о компрометации их данных, чтобы они могли предпринять меры для защиты, такие как изменение паролей или более тщательный контроль кредитных рейтингов. Тем не менее, у меня есть опасения, связанные с широтой правил и вероятностью увеличения числа уведомлений, которые могут оказаться избыточными», — добавила Пирс.

Регламент S-P не обновлялся с момента его принятия в 2000 году. В прошлом году SEC приняла новые правила, требующие от публичных компаний раскрывать утечки данных, которые существенно влияют или могут повлиять на бизнес, стратегию или финансовые результаты.

Поправки вступят в силу через 60 дней после публикации в Федеральном реестре. Крупные организации обязаны будут соблюдать новые требования через 18 месяцев после публикации, а малые организации — через 24 месяца.