INFORMACIÓN DEL CLIENTE QUE
SALVAGUARDA REGLAS
• ¡Los ladrones de la
identidad no son
ningún diferente que
un tiburón - le están
esperando para
incurrir en esa UNA
equivocación!
• ¡Los resultados
pueden ser
devastadores!
¿Por qué GLBA fue decretado?
• La sección 501 del GrammLixivia -Bliley acto, si no
referido mientras que el
"cliente que salvaguarda acto"
requiere a instituciones
financieras establecer
estándares referente a
salvaguardias administrativas,
técnicas y físicas de la
información para proteger
expedientes y la información
del cliente contra hurto de la
identidad
Objetivos De la Salvaguardia
• Asegure la seguridad y el secreto de los
expedientes y de la información del cliente.
• Proteja contra cualesquiera amenazas o peligro
anticipadas a la seguridad de los expedientes.
• Proteja contra el acceso o el uso desautorizado
de los expedientes o de la información que
podrían dar lugar a daño o a inconveniencia a
los clientes.
Cuál es hurto de la identidad
• Con conocimiento
usando, sin la
autoridad, medios de
la identificación de
otra persona de
confiar cualquier
actividad ilegal.
Cómo hace y el ladrón de la
identidad consigue la información
• El robar archiva lugares de la forma donde
trabajan, va a la escuela, a la tienda, al banco,
al etc...
• Robar su bolsa o carpeto
• Robar la información del correo, automóvil,
basura.
• Enviando los email falsos, entrando en contacto
con a personal de ventas para la información de
la "verificación“
• Compra de la gente que tiene acceso a la
información.
Hechos Del Consumidor
El hurto de la identidad golpeó 10 millones
de marcas durante 2003. Lleva a
consumidores 14 - 18 meses al claro su
nombre. Cuesta a consumidor medio
alrededor de $850. La información nonpublic debe ser salvaguardada. Las
multas para no ser obedientes pueden
estar en millones. Los empleados deben
adherir a las políticas establecidas.
Artículos y asuntos recientes
"su número de teléfono, número de la tarjeta de crédito, número de Seguridad Social,
número de tarjeta del debe y PERNO. Pueden incluso saber el nombre virginal de su madre.
Y lo venderán todo para el precio de un boleto de la película. ... la más nueva generación de
los corredores de la identidad, millares de criminales implicados en algunos de los ataques
electrónicos más descarados contra... consumidores en los años recientes... que cuestan a
negocios casi $50 mil millones."
Dallas Morning News September 25,2004
El FTC ha establecido un Web site del consumidor titulado los "hechos para los
consumidores: Cuando son malas las cosas suceden a su buen nombre ". Este sitio es un
sitio educativo para que los consumidores descubran cómo proteger su identidad y lo que a
hacer si experimentan una pérdida. El FTC también los ofrece "a forma de la entrada de la
queja" para los consumidores al E-mail directos si han experimentado hurto de la identidad.
La forma contiene una sección llamada los "problemas con las compañías" que piden, entre
otras cosas, el consumidor para identificar a la compañía por nombre, la dirección y el
número de teléfono.
FTC web site: http://www.ftc.gov/bcp/conline/pubs/idtheft.htm
Una búsqueda de la tela en Yahoo encontró 407314 asuntos del hurto de la identidad.
"han arrestado y se han cargado a un vendedor del coche en un esquema extenso del hurto
de la identidad que produjo neto más de $400.000 en característica personal... incluyendo
un Harley 2004 Davidson... comprado utilizando identidad robada."
The Associated Press August 1, 2004
INFORMACIÓN DEL CLIENTE
QUE SALVAGUARDA REGLAS
El acto de la aislamiento y la regla que salvaguarda son amba parte de los
requisitos debajo de Gramm-Lixivian -Bliley acto.
El acto de la aislamiento trata de cómo usted comparte la información nonpublic de su cliente que usted obtiene. La fecha final para que los
distribuidores sean obedientes con el acto de la aislamiento era de julio el
1 de 2001.
La información del cliente que salvaguarda regla trata de cómo usted protege
la información non-public de su consumidor que usted obtiene. La fecha
final para que los distribuidores sean obedientes con la regla que
salvaguardaba era de mayo el 23 de 2003.
Información Privada
• Solicitudes De Crédito
• Números De Teléfono (Sin
apuntar)
•
•
•
•
Números De Seguridad Social
Dirección
Fecha de nacimiento
Trabajo y renta
• Información de la oficina de crédito
• Números de la tarjeta de crédito
• Saldos acreedores y balances
• Todos consideran información
• Número de la licencia de
conductor
• Número de cuenta de
comprobación
• Número de la póliza de seguro
• Número de la póliza de seguro
La Comisión Comercial Federal dice...
... cada negocio debe señalar a un coordinador del programa para supervisarlo está salvaguardando esfuerzos
... que el coordinador del programa debe tener un nivel medio antedicho de la maestría en cada uno de las áreas
operacionales del negocio
... el coordinador del programa debe supervisar un gravamen de riesgo cuidadoso del negocio
... cada negocio debe desarrollarlo es poseer específico escrito comprensivo del programa de la seguridad de la información a
él es actividades (el FTC está claro en su opinión que cada negocio será diferente que el siguiente, uniforme para las
operaciones múltiples del punto - un documento no será suficiente para todos los almacenes)
... el coordinador del programa debe tener la autoridad para examinar el estado de la conformidad del negocio con un proceso
de la intervención
... que el proceso de la intervención debe para ser conducido sobre una base periódica y que debe incluir la capacidad de
disciplinar a empleados
... para arriba a e incluyendo la terminación
... el coordinador del programa necesita tener acceso directo al dueño del negocio y celebrar reuniones periódicas para
identificar y para corregir las ediciones y los problemas descubiertos durante las inspecciones
... todas las computadoras dentro del negocio se deben equipar de un actualizado y el software del contra-virus y el programa
eficientes de la protección del cortafuego
... todas las computadoras dentro del negocio se deben equipar de una paquete de software protegida conexión del ahorrador
de la pantalla
... cada usuario de la computadora dentro del negocio debe utilizar fuerte un complejo El FTC utilizó una contraseña numérica
del dígito de la alfa ocho 8 con por lo menos una (1) letra CAPITALIZADA y un (1) dígito desconocido tal como un *-&#@
como ejemplo de una contraseña "fuerte")
... cada negocio se requiere para tomar medidas razonables para asegurarse de que cada uno de él es vendedores
seleccionados tiene la capacidad de salvaguardar adecuadamente a vendedor personal non-public de la información del
consumidor
... que los acuerdos deben contener una obligación contractual para que el vendedor mantenga provisiones que salvaguardan
adecuadas de proteger su identidad de los clientes
Penas y multas del FTC
Para repasar, la pena para el incumplimiento se calcula como
sigue:
El FTC le paga una visita
Encuentran 3 archivos del cliente asegurados no correctamente
Los archivos son anticuados a partir hace de 10 días
La multa sería…
…3 x $11,000 = $33,000 x 10 días = $330,000
El FTC entonces pediría considerar a su programa de la seguridad de la
información y coordinador escritos del programa.
Si el FTC no está satisfecho con su esfuerzo de asegurar su información
del consumidor podrían asumir que usted nunca ha estado en
conformidad y la multa sería recalculada basó en el siguiente:
…3 x $11,000 = $33,000 x 505 días (23 de mayo 20003) =
$16,665,000
PASOS A LA CONFORMIDAD
1:
Consiga comenzado - haga algo
2:
Lea y entienda la regla que salvaguarda
3:
Asigne a coordinador cualificado del programa
4:
Autorice a coordinador del programa con autoridad
5:
Usted debe cerciorarse de que TODOS LOS empleados cooperen completamente con el coordinador del programa
6:
Escriba su programa de la seguridad de la información basado en su gravamen de riesgo individual
7:
Publique su programa escrito de la seguridad de la información a los partidos apropiados
8:
Entrene a todos los empleados para entender su programa escrito de la seguridad de la información
9:
Incorpore sus reglas que salvaguardan en su documento del proceso de la encaminamiento
10: Repase a todos sus vendedores para asegurarse de que están en conformidad
11: Repase todas las computadoras para asegurarse de que resuelven los estándares que salvaguardan
12: Establezca una rutina estructurada de la intervención con su coordinador del programa
13: Satisfaga con a su coordinador del programa sobre una base regular para discutir ediciones
14: Enmiende su programa según lo necesitado
15: Entrene a todos los nuevos empleados, enseñe aprenda habilidades nuevas cada año o siempre que usted enmiende
su programa
16: Documente todo el entrenamiento
LOS CINCO PASOS
•
•
•
•
•
ENTRENAMIENTO: Requieren a cada empleado tomar un curso de aprendizaje de las
reglas que salvaguarda. El curso debe ser su programa escrito de la seguridad de la
información analizado por departamentos. Cada empleado debe pasar la prueba cada año
o como ocurren los cambios.
COORDINADOR DEL PROGRAMA: Usted debe seleccionar al individuo apropiado asumir los
deberes del coordinador del programa. Su coordinador del programa debe ser un
individuo que puede dispuesto y "a conducir la carga" para el cambio.
INFORMACIÓN ESCRITA QUE SALVAGUARDA REGLAS: Su coordinador del programa debe
establecer su programa escrito de la seguridad de la información único a su
representación. Esto es lograda sobre todo por "Blueprinting" sus operaciones existentes
de la representación y disposiciones actuales.
INTERVENCIONES E INSPECCIONES: Las inspecciones y las intervenciones periódicas se
requieren para asegurarse de que los cambios identificados se estén poniendo en
ejecucio'n y se estén siguiendo. El coordinador del programa debe establecer una hoja del
cheque de la inspección rutinaria que refleje sus nuevos procesos. Los cambios a su
programa escrito existente de la seguridad de la información se deben basar en los
resultados o sus intervenciones.
MANTENIMIENTO Y CONTINUACIÓN: Su programa debe cambiar mientras que el pleito
cambia la interpretación de las reglas que salvaguardan. Varios estados están repasando
actualmente la necesidad de regulaciones publicadas estado separado. El estado de
California ha aprobado ya ediciones dirigidas ley separada de una aislamiento del estado.
Su información y programa necesita ser supervisada y ser mantenida actualizado
mientras que la regla que salvaguarda se altera y se cambia en niveles federales y del
estado.
INTERVENCIÓN
• Información Non-public Del Cliente
• Los empleados tienen una buena comprensión de qué información necesita ser
salvaguardada
• La mayoría de empleados indica que entienden la importancia de salvaguardar
• Coordinador Del Programa
• Muchas representaciones tienen todavía asignar a un coordinador del programa
• Los coordinadores del programa han indicado que realmente no tienen tiempo para
esto
• Programa Escrito De la Seguridad De la Información
• La mayoría de las representaciones no tienen un programa único escrito
• Muchos programas escritos no son específicos y son demasiado genéricos en
naturaleza
• Inspecciones e intervenciones
• Muy pocas representaciones han terminado cualquier tipo de intervención
• Muy pocos cambios se han realizado basado en los resultados de esas
intervenciones
• Penas y multas del FTC
• El potencial para las multas pesadas no se parece ser una razón válida de
conformarse
• Componentes dominantes a conformarse
• No tomado seriamente
MÁS ESPECÍFICAMENTE...
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Los números de Seguridad Social fácilmente fueron encontrados en todas las áreas de las ventas en
todos los almacenes visitados
Las copias de la licencia de conductor, con números de Seguridad Social, encontraron fácilmente
Solicitudes de crédito en la posesión del equipo de las ventas y hacia fuera en el abierto
Hojas de trabajo del cliente que incluyen números de Seguridad Social y la fecha de nacimiento
Repartos completos situados y almacenados en los escritorios de las ventas
Podíamos tomar varios repartos y caminar del edificio
Las muestras etiquetadas "no incorporan - los empleados solamente - la información non-Public del
cliente“
Los números de Seguridad Social dan escrito en órdenes de la reparación
Mantenga los números de Seguridad Social de los técnicos y de los escritores del servicio impresos en
R.O.'s
Los usos del empleado se fueron hacia fuera en el abierto
Las cheques del empleado se fueron hacia fuera en el abierto
Archivos muertos almacenados en el piso detrás de ventas y de escritorios de F&I
Las oficinas de F&I se fueron desatendido y abierto por períodos del tiempo extendidos
Vendedores y comerciantes que caminan con las áreas generales de la oficina
Las oficinas de crédito del cliente imprimieron en las impresoras situadas en el centro del piso del salón
de muestras
Máquinas de la tarjeta de crédito que imprimen números de cuenta completos de cliente
Encargados de F&I que se van hasta que finalicen repartos en su escritorio durante de la noche
Los encargados de F&I que dejan su escritorio con un cliente en su oficina y distribuyen en el abierto
Cerraduras en la puerta de la oficina de encargados de F&I con todas las personas de las ventas que
caminan adentro y hacia fuera en la voluntad
Coordinador Del Programa
• La posición del coordinador del programa se
debe asignar basada en una persona, no una
posición
• Su coordinador del programa debe poseer las
características siguientes:
•
•
•
•
•
•
•
La lealtad extrema a su representación y ella es dueño
Un fondo militar es provechoso
Alguien que usted puede sostener responsible
Alguien intimidada no fácilmente
Alguien que no importa el ser un cuento del tattle
Una persona que forzará las ediciones para la resolución
Una persona que apoyará el esfuerzo de cambiar
Programa Escrito De la
Seguridad De la Información
• Todos los programas se deben escribir basados en su estructura
única del negocio de las representaciones
• Las localizaciones múltiples deben tenerlo son poseer programa
único
• El coordinador del programa es responsable del programa
• Todos los empleados deben ser entrenados basaron en su título del
trabajo
• El conocimiento se debe mantener por la gerencia superior para
asegurarse de que ocurre el cambio
• Se recomiendan los cambios periódicos basaron en sus necesidades
Inspecciones e intervenciones
• Inspecciones e intervenciones
• Las inspecciones y las intervenciones se deben realizar a menudo y sin
el aviso
• El coordinador del programa debe celebrar reuniones con los
fabricantes de decisión para discutir los resultados de la intervención y
para realizar cambios según lo necesitado
• Usted debe estar dispuesto a tomar la acción de la disciplina, hasta e
incluyendo la terminación, si los empleados rechazan cambiar para
conformarse con sus requisitos
• La frecuencia de la intervención se debe basar en los resultados de sus
inspecciones
Prácticas que emplean
• El hurto de la identidad de los empleados está aumentando en una
tarifa alarmante.
• Los empleados que tienen acceso a su información del cliente, están
vendiendo la información a los ladrones.
• Los dueños del negocio pueden ser sostenidos obligados para los
empleados que emplean con un fondo en crimen.
• Si usted está considerando el emplear de un individuo con un fondo
criminal, utilice por favor la lógica con excepción de "ellos puede vender
los coches."
• Recomendamos fuertemente cada negocio terminamos un cheque del
fondo antes de ofrecer a un individuo un trabajo.
• Una fuente es www.publicdata.com.
¿Cuáles Son Nosotros Requirieron
Para hacer?
• Mantenga la información
confidencial privada.
• Tenga especial cuidado
al ocuparse del ssn.
• Utilice los métodos
seguros y aprobados de
la disposición.
• Asegure las
transmisiones de datos
seguras.
• Mejore los
procedimientos.
Qué Debe Nosotros Hacer
• Determínese qué
información usted
necesita.
• Manténgala segura
siempre.
• Guarde el alzaprimar de
ojos lejos de la
información del cliente.
• No tome la información
del cliente lejos del
trabajo.
Qué debe (continuado)
• Siga el programa que
salvaguarda de la compañía a
la letra. (consiga el copy bajo
sección de los manuales de
este sitio).
• Tome el cuidado al
proporcionar la información del
cliente a otras.
• Siempre mantenga la
información del cliente trabada
para arriba.
• Divulgue los problemas o las
preocupaciones a los
encargados inmediatamente.
• ¡Nunca discuta el negocio del
cliente con alguien que no
necesita saber!
Evite Siempre:
• Acceso desautorizado. Quitar
la información del lugar de
trabajo o de su oficina.
• Compartir la información sin
necesidad del negocio.
• Sacudir la información en la
basura.
• Información abajo que carga o
emailing.
• El prever corrigiendo la
información preguntas de la
verificación de la cuenta.
Siempre:
• Asegure La Seguridad Física.
• Preste la atención a sus
alrededores.
• Seleccione y proteja
difícilmente para conjeturar
contraseñas.
• Evite las trampas del email.
• Sostenga los archivos.
• Termine una sesión su
computadora cuando no en
uso.
• No deje la información en su
escritorio.
• Mantenga los discos de la
computadora seguros.
THREE PLACES INFORMATION
IS CONSIDERED SAFE
1. IN YOUR HAND
2. IN A LOCKED DESK DRAWER OR FILE
3. IN YOUR COMPUTER SCREEN IF YOUR
COMPUTER IS PROPERLY PROTECTED
IN never OUT
Why Should You Comply?
• It’s the Law?
• The FTC fines and penalties are expensive?
• You have nothing better to do?
MOTTO:
Conducting business the right way…
… even when no one else is looking!