Cumplimiento Cloud de GLBA

Seguridad y privacidad en la nube en el contexto de la GLBA

¿Qué es la Ley Gramm-Leach-Bliley (GLBA)?

La Ley Gramm-Leach-Bliley (GLBA) es una regulación federal de los Estados Unidos para proteger la privacidad financiera del consumidor. El reglamento establece restricciones sobre el intercambio de información financiera de los consumidores con terceros, una práctica en la que participan muchas instituciones y organizaciones financieras. GLBA exige a las instituciones financieras - definidas en términos generales para abarcar a las empresas que proporcionan servicios o productos financieros - que revelen sus prácticas de intercambio de información a los clientes y que dejen claro el derecho a "optar por no participar" en este intercambio de información con terceros no afiliados.

GLBA también establece restricciones sobre la reutilización y revelación de la información financiera de un cliente. Además, la Norma de Protección de Datos de la GLBA exige garantías administrativas, técnicas y físicas adecuadas sobre los datos de los clientes. Incluso si la institución financiera no revela información financiera no pública a terceros, el cumplimiento del GLBA sigue siendo obligatorio.

El GLBA exige sanciones civiles y penales severas por incumplimiento, incluyendo multas y encarcelamiento. Si una institución financiera viola GLBA:

  • La institución estará sujeta a una multa civil de no más de $100,000 por cada violación.
  • Los funcionarios y directores de la institución estarán sujetos y serán personalmente responsables de una multa civil de no más de $10,000 por cada violación.
  • La institución y sus funcionarios y directores también estarán sujetos a multas de acuerdo con el Título 18 del Código de los Estados Unidos o a una pena de prisión de no más de cinco años, o ambas.

Las violaciones de GLBA también pueden resultar en una serie de sanciones y pueden afectar negativamente la reputación de una institución.

¿A quién se aplica?

El GLBA se aplica a todas las empresas que se dedican "significativamente" a proporcionar productos o servicios financieros a los consumidores. Las compañías que tradicionalmente no se consideran instituciones financieras pero que proveen productos o servicios financieros tales como negocios de cambio de cheques, prestamistas de día de pago, corredores hipotecarios, prestamistas no bancarios, minoristas, operadores de cajeros automáticos y agencias de reporte de crédito están igualmente obligados a cumplir con GLBA.

¿Qué datos están protegidos?

  • Información personal no pública: información financiera de identificación personal recopilada en relación con el suministro de un producto o servicio financiero o recopilada de otro modo por una institución financiera.
  • La información personal no pública incluye:
    • Nombre del cliente, dirección, número de seguro social, número de cuenta
    • Información que un cliente proporciona en una aplicación
    • Información obtenida en un documento legal que se refiere a una citación, bancarrota, divorcio, etc.
    • Información de una "cookie" obtenida al utilizar un sitio web
    • Información sobre un reporte de crédito obtenido por una institución financiera

Requisitos

Requisitos de seguridad

Asegurar la seguridad y confidencialidad de la información de los clientes. Protéjase contra cualquier amenaza o peligro previsto para la seguridad o integridad de dicha información. Protéjase contra el acceso no autorizado o el uso de dicha información que pueda resultar en un daño o inconveniente sustancial para cualquier cliente.

Regla de privacidad financiera

Esta regla exige que las instituciones financieras notifiquen sus políticas y prácticas de privacidad con respecto a la divulgación de información del consumidor a terceros. La norma también exige a las instituciones financieras que permitan al consumidor optar por no revelar su información personal a un tercero no afiliado.

Regla de salvaguardia

Esta regla requiere que las instituciones financieras desarrollen, implementen y mantengan un programa escrito de seguridad de la información que detalle las salvaguardas administrativas, técnicas y físicas que se han establecido para proteger la información financiera no pública de sus consumidores. El programa de seguridad de la información debe actualizarse de acuerdo con cualquier cambio en la organización o basado en la información obtenida del monitoreo.

Lista de comprobación preliminar para el cumplimiento de las normativas en la nube

Educación

Proporcione formación, como mensajes de adiestramiento a empleados y consultores sobre las mejores prácticas de seguridad y la protección de la infraestructura de TI de la organización.

Auditoría y control

Supervise regularmente el tráfico dentro de su red y desde y hacia la nube y pruebe estos sistemas y procesos e identifique cualquier cambio y configuración no autorizados.

Control de acceso

Implemente fuertes medidas de control de acceso a toda la infraestructura de TI.

Gestión de riesgos

Implemente un proceso de gestión de riesgos para identificar, medir, supervisar y gestionar los riesgos.

Las empresas líderes confian en nosotros

Top CASB Use Cases for Financial Services — ebook

Obtenga más información sobre los 3 casos de uso de CASB más importantes para las entidades financieras con el fin de proteger el uso de la nube.

Más información

Tackle the NYDFS Cybersecurity Requirements with Netskope – whitepaper

Lea cómo las normativas del NYDFS pueden aplicarse a su organización y cómo Netskope ayuda a cumplir con las normas en la nube.

Más información

¿Quiere ver Netskope en acción?

Solicitar una demostración