Am 6. Mai 1999 brachten die Vertreter James Leach und Thomas J. Bliley Jr. sowie der Senator Phil Gramm den Financial Services Act im US-Senat ein. Nur fünf Monate später, am 12. November 1999, wurde er in Gesetz unterzeichnet.
Die Tatsache, dass dieses Gesetz so schnell verabschiedet wurde, zeugt von seiner Schlüsselrolle bei der Verbesserung der Datensicherheit und der Unterstützung der Verbraucherprivatsphäre. In unserem neuen Interview werden wir darauf eingehen, was dieses Gesetz auszeichnet und was es für Unternehmen der Finanz Software Entwicklung bedeutet.
Was ist die GLBA?
Benannt nach ihren Initiatoren wird das Gramm-Leach-Bliley-Gesetz (GLBA) manchmal auch als Financial Modernization Act bezeichnet. Dieses US-Gesetz hat den Finanzdienstleistungssektor transformiert, da es den Startschuss für die Konsolidierung von Geschäfts- und Investmentbanken, Wertpapierfirmen und Versicherungsgesellschaften gab. Die GLBA schreibt außerdem vor, dass Finanzinstitute die persönlichen Informationen ihrer Kunden sicher behandeln müssen.
Im Wesentlichen ist die GLBA nicht nur für Finanzinstitute relevant, sondern auch für Organisationen, die persönliche Informationen von diesen Instituten erhalten. Obwohl das Gesetz ausdrücklich für eine bestimmte Gruppe von Unternehmen gilt, reicht seine tatsächliche Reichweite über das hinaus, was auf den ersten Blick ersichtlich sein könnte. Es kommt darauf an, was als Finanzinstitut qualifiziert wird.
Gemäß der Gesetzgebung sind Finanzinstitute Unternehmen, die erheblich an finanziellen Aktivitäten beteiligt sind. Dies umfasst eine Reihe von Operationen wie Kreditvergabe, Investitionen sowie das Angebot von finanziellen oder wirtschaftlichen Beratungsdienstleistungen. Weitere Beispiele sind Maklerdarlehen, Kreditdienstleistungen, Inkassodienste und sogar Karriereberatung.
Was die erhebliche Beteiligung betrifft, müssen Unternehmen zwei Kriterien erfüllen:
- Es muss eine formelle Vereinbarung über die Kundenbeziehung vorliegen. Zum Beispiel ist ein Barbesitzer, der für seine Kunden eine Rechnung führt, nicht offiziell an finanziellen Aktivitäten beteiligt.
- Die Häufigkeit der Transaktionen. Wenn ein Einzelhändler beispielsweise einem Kunden einen einmaligen Ratenzahlungsplan anbietet, wird er nicht offiziell als erheblich an finanziellen Aktivitäten beteiligt betrachtet. Im Gegenteil, wenn ein Unternehmen regelmäßig Geldtransfers mit Kunden durchführt, wird es als erheblich an finanziellen Aktivitäten beteiligt anerkannt.
Welche Art von Informationen umfasst die GLBA?
Das Hauptziel der GLBA besteht darin, nicht öffentliche persönliche Informationen (NPI) zu schützen, die sich auf finanzielle Daten beziehen, die zur Identifizierung einer Person geeignet sind. Diese Informationen werden von einer Finanzinstitution im Rahmen der Bereitstellung eines Finanzprodukts oder -dienstes gesammelt, solange sie nicht öffentlich verfügbar sind.
Es gibt drei Wege, auf denen NPI erhalten werden kann:
1. Informationen, die von Einzelpersonen freiwillig zur Erlangung eines Produkts oder Dienstes bereitgestellt werden, wie Name, Adresse, Einkommen, Sozialversicherungsnummer, etc.
2. Informationen, die aufgrund einer Transaktion im Zusammenhang mit Ihrem Produkt oder Dienstleistung erhalten werden, wie Kontonummern, Zahlungshistorie, etc.
3. Informationen, die im Zusammenhang mit der Bereitstellung eines Produkts oder Dienstes über eine Person erhalten werden, wie Verbraucherberichte, etc.
Man muss vorsichtig sein, wenn es um öffentlich verfügbare Informationen geht. Betrachten wir ein interessantes Beispiel: Auch wenn Telefonnummern in einem öffentlichen Telefonverzeichnis aufgeführt sind, kann eine Person mehrere Telefonnummern haben. Daher würde eine nicht im Verzeichnis aufgeführte Nummer nicht als öffentlich verfügbar betrachtet.
Letztendlich wird, wenn ein Satz von Informationen auch nur einen Teil von NPI enthält, der gesamte Datenblock als nicht öffentlich kategorisiert. Betrachten Sie beispielsweise eine Liste von Namen und Telefonnummern von Kreditnehmern, die von einem Gläubiger zusammengestellt wurde. In diesem Szenario ist der Name öffentlich verfügbare Information, die aus verschiedenen Quellen bezogen werden kann, ebenso wie die Telefonnummer. Aber die Tatsache, dass es rechtliche Beziehungen zwischen einem Kreditnehmer und einem Gläubiger gibt, fällt unter die Kategorie nicht öffentliche Informationen. Folglich wird es unerlässlich, die Vertraulichkeit solcher Daten zu wahren.
Welche sind die wichtigsten GLBA-Regeln in Bezug auf Datensicherheit?
Es gibt zwei Hauptregeln der GLBA, die darauf abzielen, die Kundendaten zu schützen.
Die erste Regel ist die Regel zur finanziellen Privatsphäre, die Finanzinstitute dazu verpflichtet, Kunden Datenschutzbenachrichtigungen zuzusenden. Diese Datenschutzhinweise werden:
- zum Zeitpunkt der Aufnahme einer Beziehung bereitgestellt, es sei denn, es wird eine verzögerte Benachrichtigung für den zeitnahen Abschluss einer Transaktion bereitgestellt;
- jährlich (in bestimmten Fällen, wie vom Gesetz vorgeschrieben).
Eine Datenschutzbenachrichtigung muss eine Liste der gesammelten Verbraucherinformationen sowie deren Verwendung und Schutz enthalten. Es gibt ein offizielles Modell für Datenschutzformulare, das als Referenz verwendet werden kann.
Verbraucher können auch wählen, sich der Weitergabe von Informationen zu widersetzen. Dies wird besonders wichtig, wenn ein Finanzinstitut nicht öffentliche Informationen über einen Verbraucher an Dritte weitergibt. In einem solchen Fall sollte die Benachrichtigung auch Folgendes enthalten:
- Eine Benachrichtigung zur Ablehnung der Weitergabe ihrer NPI an nicht verbundene Dritte.
- Kategorien von gesammelten und geteilten Informationen.
- Klassen von Dritten, mit denen die Informationen geteilt werden sollen.
- Eine geeignete Möglichkeit zum Widerspruch.
- Eine angemessene Frist, um sich vor der Offenlegung solcher NPI zu widersetzen.
Es gibt einige Fälle, in denen Verbraucher keinen Widerspruch einlegen können:
- Informationsaustausch mit Einrichtungen, die wesentliche Dienstleistungen für das Finanzinstitut erbringen.
- Durchführung von Marketingkampagnen für Produkte oder Dienstleistungen des Finanzinstituts.
- Informationsaustausch, wie gesetzlich vorgeschrieben.
Die zweite Regel ist die Schutzregel, die ein umfassendes Informationssicherheitsprogramm skizziert, das unter anderem Folgendes umfassen kann:
- Bestellung mindestens eines Mitarbeiters zur Überwachung von Sicherheitsmaßnahmen;
- Durchführung einer Risikoanalyse in Abteilungen, die mit sensiblen Informationen umgehen;
- Einrichtung, Überwachung und Prüfung eines Programms zum Schutz von Informationen;
- Notwendige Anpassungen der Sicherheitsmaßnahmen durch Änderung der Methoden zur Sammlung, Speicherung und
- Verwendung von Informationen, wenn erforderlich.
Welche Maßnahmen kann ein Softwareentwicklungsanbieter ergreifen, um die GLBA-Konformität sicherzustellen?
Für uns als Entwicklungsunternehmen kommt die Essenz des Dokuments darauf an, dass jede Firma ihre einzigartigen Risiken und Anforderungen hat. Daher können sich Unternehmen nicht auf vorgefertigte Konformitätsprogramme verlassen. Empfehlungen umfassen mehrstufige Programme, die Unternehmen implementieren können, um Risiken zu reduzieren und den rechtlichen Normen zu entsprechen. Diese Programme können Folgendes beinhalten:
1. Durchführung einer Risiko- und Bedarfsanalyse. Es wird oft empfohlen, dass eine Risikobewertung von einem externen Berater mit Erfahrung in der GLBA-Konformität durchgeführt wird.
2. Annahme relevanter GLBA-Konformitätsrichtlinien und -verfahren:
- Unternehmensprogramm zur Informationssicherheit;
- umfassende Berichterstattung an den Vorstand oder die Geschäftsleitung;
- Verfahren zur Identifizierung und Einstufung von Informationsvermögenswerten basierend auf Vertraulichkeit;
- Identifizierung aller potenziellen Bedrohungen, sowohl intern als auch extern, die vernünftigerweise zu erwarten sind;
- Verfahren, um sicherzustellen, dass Systemänderungen die GLBA-Konformitätsanforderungen nicht nachteilig beeinflussen.
3. Entwicklung von GLBA-konformen Datenschutzrichtlinien und Abwehrsystemen gegen Denial-of-Service-Angriffe.
4. Implementierung geeigneter logischer und physischer Sicherheitsmaßnahmen.
5. Überwachung und Sicherstellung der fortlaufenden GLBA-Konformität.
6. Dokumentation der aktuellen Bemühungen des Unternehmens, den GLBA-Anforderungen gerecht zu werden, um regulatorische Inspektionen zu erleichtern.
Was sind die Konsequenzen bei Nichteinhaltung der GLBA?
In Bezug auf die Verantwortlichkeit gelten folgende Geldstrafen:
- Für eine juristische Person eine Geldstrafe von bis zu 100.000 US-Dollar pro Verstoß.
- Für eine Einzelperson eine Geldstrafe von bis zu 10.000 US-Dollar pro Verstoß (gilt für Führungskräfte und Direktoren).
Darüber hinaus ist eine strafrechtliche Verfolgung nicht ausgeschlossen, wenn die Schwere des begangenen Vergehens dies rechtfertigt.
Wie sieht es mit der GLBA-Zertifizierung aus? Ist sie erforderlich?
Da es sich bei der GLBA um ein Gesetz handelt, gibt es kein separates Zertifizierungsprogramm für die Drittbewertung der Konformität.
Allerdings setzen Unternehmen viel Aufwand ein, um die GLBA-Konformität zu einem festen Bestandteil ihres Tagesgeschäfts zu machen. Beispielsweise haben Microsoft Azure und Office365 Folgendes implementiert:
- Erstellung und Genehmigung eines Sicherheitsprogramms in schriftlicher Form.
- Überwachung, Bewertung und Anpassung des Programms unter Berücksichtigung der Sensibilität von Kundendaten, interner/externer Bedrohungen für Informationen und Änderungen der Geschäftsbedingungen.
- Benennung von Personen, die für die Umsetzung des Sicherheitsprogramms verantwortlich sind.
- Empfang von Berichten von Managern.
Ein weiteres Beispiel ist Entrust nShield® (HSM), das zur Erfüllung seiner behördlichen Compliance-Initiativen rigorose Benutzerauthentifizierung und Verschlüsselungsschlüsselschutz nutzt.
Fazit
In der aktuellen Umgebung, die von Datenverstößen durchzogen ist, ist die Einhaltung der GLBA für Finanzinstitute entscheidend, da Verstöße nicht nur erhebliche Kosten verursachen, sondern auch eine Bedrohung für den Ruf und den laufenden Betrieb darstellen. Es ist jedoch zu beachten, dass die GLBA keine spezifischen Sicherheitsmaßnahmen vorschreibt und Finanzinstituten die Verantwortung überträgt, ihre eigenen Sicherheitsprogramme zu bestimmen und umzusetzen.
Dies unterstreicht die Bedeutung der Auswahl eines zuverlässigen Technologiepartners mit tiefgreifender Expertise im Bereich der Datensicherheit bei der Entwicklung von Finanzsoftware für Unternehmen. Bei Elinext verfügen unsere Experten über praktische Erfahrung in der Sicherheitstechnik, die entscheidend ist, um optimale Sicherheitsmaßnahmen zu identifizieren und umzusetzen, die auf die spezifischen Bedürfnisse jedes Unternehmens zugeschnitten sind. Kontaktieren Sie uns.
Sind Sie an Standards im Finanzsektor interessiert? Lesen Sie unseren anderen Artikel:
SOX und IFRS: Gespräch über Finanzberichtsstandards mit Experten von Elinext