Новые правила защиты клиентской информации для финансовых учреждений.
Комиссия по ценным бумагам и биржам США (SEC) ввела новые правила, согласно которым финансовые учреждения должны сообщать об утечках данных в течение 30 дней с момента их обнаружения.
15 мая SEC приняла поправки к Регламенту S-P, регулирующему обращение с персональными данными потребителей. Теперь учреждения обязаны уведомлять пострадавших «как можно скорее, но не позднее 30 дней» после выявления несанкционированного доступа к данным. Эти требования распространяются на инвестиционные компании, финансовых брокеров, зарегистрированных инвестиционных консультантов и трансфер-агентов.
«За последние 24 года природа, масштаб и влияние утечек данных существенно изменились», — отметил председатель SEC Гэри Генслер. «Эти поправки обновят правила, принятые в 2000 году, и помогут защитить конфиденциальность финансовых данных клиентов».
Уведомления должны содержать подробную информацию о происшествии, какие данные были скомпрометированы и как пострадавшие могут себя защитить. Однако, согласно одному из положений, учреждения могут не уведомлять клиентов, если установят, что личная информация не была использована таким образом, который мог бы привести к «значительному вреду или неудобствам».
Поправки требуют от учреждений разработать, внедрить и поддерживать письменные политики и процедуры, направленные на обнаружение, реагирование и восстановление после несанкционированного доступа к информации клиентов. Кроме того, поправки также:
Новые требования также охватывают личную информацию, полученную от других финансовых учреждений.
Хестер Пирс, комиссар SEC, выразила обеспокоенность, что новые требования могут оказаться чрезмерными. «Сегодняшнее обновление Регламента S-P поможет учреждениям правильно расставлять приоритеты в защите информации клиентов», — отметил комиссар.
«Клиенты будут своевременно уведомлены о компрометации их данных, чтобы они могли предпринять меры для защиты, такие как изменение паролей или более тщательный контроль кредитных рейтингов. Тем не менее, у меня есть опасения, связанные с широтой правил и вероятностью увеличения числа уведомлений, которые могут оказаться избыточными», — добавила Пирс.
Регламент S-P не обновлялся с момента его принятия в 2000 году. В прошлом году SEC приняла новые правила, требующие от публичных компаний раскрывать утечки данных, которые существенно влияют или могут повлиять на бизнес, стратегию или финансовые результаты.
Поправки вступят в силу через 60 дней после публикации в Федеральном реестре. Крупные организации обязаны будут соблюдать новые требования через 18 месяцев после публикации, а малые организации — через 24 месяца.