Was können Sie in einer Welt, die von Tag zu Tag anfälliger für Datenverletzungen und Identitätsdiebstahl zu werden scheint, um nicht nur Ihre eigenen Informationen, sondern auch die Ihrer Kunden zu schützen? Ihre Kunden vertrauen Sie mit vielen sensiblen Daten an. Daher ist es wichtig, dass die Anbieter, mit denen Sie arbeiten, Schutzmaßnahmen vorhanden sind, um diese Daten sicher zu halten. In der Tat das Gesetz erfordert Due Diligence von Geschäftsinhabern, die die vertraulichen Informationen von Verbrauchern zu Zugang zu den Verbrauchern haben, aufrechterhalten oder speichern.
Angesichts der verfügbaren Technologieprodukte und -dienste finden Sie möglicherweise ordnungsgemäß, dass Ihre Anbieter eine Herausforderung darstellen. Hier führe ich Sie durch die Parameter, mit denen Sie die Sicherheitsstandards potenzieller Anbieter bewerten und Lücken oder rote Fahnen identifizieren können. Dies, einschließlich der Bewertung, ob sie angemessen vorbereitet sind, um sich gegen smart Informationen und nicht autorisierte Zugang zu verteidigen, die möglicherweise konnten, die könnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die möglicherweise konnten, die könnten, die möglicherweise konnten, die möglicherweise kontrolliert werden können, die könnten, die möglicherweise konnten führen zu einer Schädigung Ihrer Kunden.
Informationssicherheitsprogramm
Jeder Anbieter mit dem Potenzial, Berater oder Kundendaten zuzugreifen oder zu speichern, muss über ein Informationssicherheitsprogramm verfügen. Dieses Programm sollte technische, physische und administrative Schutzmaßnahmen beschreiben, die speziell für den Schutz vertraulicher Informationen entwickelt wurden. Diese Schutzmaßnahmen können umfassen:
Datensicherheitsrichtlinien
In Bezug Du sollte den Verschlüsselungsschlüssel halten. Auf diese Weise sind Ihre Daten für jeden, der unbefugtem Zugriff erhält, bedeutungslos, wenn ein Datenschutzverstoß auf der Verkäufer auftritt.
Auch rollenbasierter Zugang ist eine Notwendigkeit. Das heißt, nur autorisierte Anbieter sollten Zugang zu sensiblen Informationen haben, und die Autorisierung sollte auf einem geschäftlichen Bedarf beruhen.
Systemsicherheit
Jeder Anbieter, mit dem Sie zusammenarbeiten, sollte Software program verwenden, die eingerichtet ist, um regelmäßig die aktuellsten Sicherheitsupdates zu erhalten – so dass Ihre sensiblen Daten nicht verletzlich bleiben. Sicherheitsbewertungen sollten kontinuierlich durchgeführt werden, und ein Änderungsmanagementverfahren sollte vorhanden sein, da Softwareänderungen Sicherheitslöcher im System des Anbieters öffnen könnten. Schließlich sind Antivirenprogramme eine Voraussetzung und sollten in allen Computersystemen Echtzeit-Scanschutz bieten.
Branchenstandards für die Netzwerksicherheit
Laut Gesetz sind Branchen-Customary-Firewalls erforderlich. Diese Firewalls sollten eingesetzt und auf dem Laufenden gehalten werden, und der Zugang zu Firewalls sollte nur durch Transport Layer Safety (TLS) zulässig sein. TLS stellt sicher, dass Datensätze und Dateien, die vertrauliche Informationen enthalten, verschlüsselt werden, wenn wir drahtlos übertragen werden (auch gesetzlich vorgeschrieben). Intrusionserkennungssysteme sind in der Regel in Firewall -{Hardware}/-software enthalten, ebenso wie Intrusion Prevention Programs.
Privatsphäre und Vertraulichkeitskontrollen
Sie möchten, dass jeder Anbieter von Drittanbietern die Verantwortung für die Sicherung Ihrer sensiblen Informationen wie Sie übernimmt. Akkreditierte Audits, einschließlich SSAE 16 oder SOC 1 und 2, sind eine Möglichkeit, die Kontrollen und Schutzmaßnahmen Ihres Anbieters vor bekannten Branchenstandards zu testen und zu validieren. Natürlich garantiert der erfolgreiche Abschluss dieser Zertifizierungen die Sicherheit nicht. Es hilft jedoch, festzustellen, dass Ihr Anbieter wirksame Kontrollen hat.
Körperliche Sicherheit
Notieren Sie sich bei der Bewertung der physischen Sicherheit eines Anbieters die Standort (en) und die Anzahl der Rechenzentren. Im Falle von natürlichen oder Umweltausfällen oder Katastrophen bietet das Speichern von Daten in mehreren Rechenzentren einen besseren Schutz. Es hilft auch, die Betriebszeit Ihrer Daten und die Möglichkeit zu verbessern, sich vom Datenverlust wiederzugewinnen. Sie können auch nach Kopien der physischen Sicherheitsrichtlinie des Anbieters bitten und überprüfen, ob sie Sicherheits-, Ablagerungs- und Entsorgungsverfahren sowie Backup/Redundanz abdeckt.
Übernahme einer Denkweise der Informationssicherheit
Die Due Diligence and Oversight von Herstellern ist auf die Spitze der Prüfungsprioritäten der FINRA und der SEC -Liste gestiegen, und die Prüfer suchen nach Beweisen für einen Due -Diligence -Prozess von großen und kleinen Finanzinstitutionen. Unabhängig davon, in welcher Ausgabe Ihre Filiale oder Kunden Sie sich befinden, müssen Sie sicherstellen, dass Sie sich an die Gesetze über Informationssicherheitsversicherungen halten, nach denen Finanzinstitute die Sicherheit und Vertraulichkeit von Kundeninformationen schützen und diese Informationen vor Bedrohungen oder Risiken schützen müssen.
Wenn Sie daran arbeiten, sicherzustellen, dass Ihr Unternehmen über die richtigen Schutzmaßnahmen verfügt, und um vorhandene und potenzielle Anbieter zu prüfen, finden Sie hier einige Fragen, die Ihr Denken leiten:
-
Treffen Sie jede angemessene Vorsichtsmaßnahme mit den Daten Ihrer Kunden? Sind diese Kontrollen dokumentiert? Die regelmäßige Überprüfung der von Ihnen heute vorhandenen Schutzmaßnahmen – und proaktiv alle erforderlichen Änderungen oder Upgrades vorzunehmen, kann dazu beitragen, dass die von Ihnen gespeicherten Informationen in Zukunft sicher sind.
-
Haben Sie mehr als einen Anbieter, der einen ähnlichen Service bietet? Wie viele Ihrer Anbieter haben Zugriff auf smart Daten? Die Beurteilung Ihrer aktuellen Anbieter -Suite ist eine einfache Möglichkeit, potenzielle Entlassungen zu erkennen und den unnötigen Zugriff auf die Daten Ihrer Kunden zu minimieren.
-
Gab es rote Fahnen, die Sie ansprechen sollten? Wenn ja, überlassen Sie nichts dem Zufall. Untersuchen Sie die Warnschilder umgehend, um sicherzustellen, dass Ihre Anbieter Ihre Sicherheitsstandards weiterhin entsprechen.
-
Wenn einer Ihrer Anbieter eine Datenverletzung erfährt, wie planen Sie, den Datenfluss auszuschalten und das Drawback Ihren Kunden zu vermitteln? Die Erkennung und Planung potenzieller Bedrohungen sorgt dafür, dass Sie auf jedes Szenario vorbereitet sind.
Letztendlich ist es Ihre Entscheidung, diese Informationen an einen Dritten anzuvertrauen. Denken Sie daran, dass Sie Ihr eigenständiger Verbündeter sind, um den Datenfluss an Ihre Anbieter zu steuern. Wenn Sie den Due -Diligence -Prozess zur Überprüfung Ihrer Anbieter befolgen, erhalten Sie die Informationen, die Sie benötigen, um eine fundierte Entscheidung zu treffen Und Garantie der Einhaltung der geltenden Gesetze und Vorschriften.
