Комиссия по ценным бумагам и биржам (SEC) потребует от некоторых финансовых учреждений сообщать о нарушениях безопасности в течение 30 дней с момента получения информации о них.
В среду SEC приняла изменения в Регламент SP, который регулирует обращение с личной информацией потребителей. Согласно поправкам, учреждения должны уведомлять лиц, чья личная информация была скомпрометирована, «как можно скорее, но не позднее 30 дней» после того, как они узнали о несанкционированном доступе к сети или использовании данных клиентов. Новые требования будут обязательными для брокеров-дилеров (включая порталы финансирования), инвестиционных компаний, зарегистрированных инвестиционных консультантов и трансфер-агентов.
«За последние 24 года характер, масштаб и последствия утечек данных существенно изменились», — заявил председатель SEC Гэри Генслер. «Эти поправки к Регламенту SP внесут важные обновления в правило, впервые принятое в 2000 году, и помогут защитить конфиденциальность финансовых данных клиентов. Основная идея для застрахованных фирм заключается в том, что если у вас произошло нарушение, вы должны уведомить об этом. . Это хорошо для инвесторов».
Уведомления должны подробно описывать инцидент, какая информация была скомпрометирована и как пострадавшие могут защитить себя. Кажется, что это лазейка в требованиях: учреждения, на которые распространяется действие закона, не обязаны выдавать уведомления, если они устанавливают, что личная информация не использовалась таким образом, чтобы причинить «существенный вред или неудобства» или вряд ли это произойдет.
Поправки потребуют от учреждений, на которые распространяется действие закона, «разрабатывать, внедрять и поддерживать письменные политики и процедуры», которые «разумно предназначены для обнаружения, реагирования и восстановления после несанкционированного доступа к информации о клиентах или ее использования». Поправки также:
• Расширить и согласовать правила защиты и удаления, чтобы охватить как закрытую личную информацию, которую застрахованное учреждение собирает о своих клиентах, так и закрытую личную информацию, которую оно получает от другого финансового учреждения о клиентах этого финансового учреждения;
• Требовать от охваченных организаций, кроме финансовых порталов, вести и вести письменные записи, документально подтверждающие соблюдение требований правил гарантий и правил утилизации;
• Привести положения о доставке ежегодного уведомления о конфиденциальности Регламента SP к условиям исключения, добавленного Законом FAST, которые предусматривают, что охваченные учреждения не обязаны доставлять ежегодное уведомление о конфиденциальности при соблюдении определенных условий; и
• Распространить как правило о гарантиях, так и правило об утилизации на агентов по передаче, зарегистрированных в Комиссии или другом соответствующем регулирующем органе.
Требования также расширяют объем закрытой личной информации, выходящей за пределы той, которую собирает сама фирма. Новые правила также будут распространяться на личную информацию, которую фирма получила от другого финансового учреждения.
Комиссар SEC Хестер М. Пирс выразила обеспокоенность тем, что новые требования могут зайти слишком далеко.
«Сегодняшняя модернизация Регламента SP поможет соответствующим учреждениям правильно расставить приоритеты в защите информации клиентов», — написала она https://www.sec.gov/news/statement/peirce-statement-reg-sp-051624. «Клиенты будут оперативно уведомлены, когда их информация будет скомпрометирована, чтобы они могли принять меры для защиты, например, сменить пароли или внимательно следить за кредитным рейтингом. Мои сомнения проистекают из широты правила и вероятности того, что оно приведет к появлению новых уведомления для потребителей, чем они полезны».
Положение СП существенно не обновлялось с момента его принятия в 2000 году.
В прошлом году SEC приняла новые правила, требующие от публичных компаний раскрывать нарушения безопасности, которые существенно влияют или могут существенно повлиять на бизнес, стратегию или финансовые результаты или условия.
Поправки вступают в силу через 60 дней после публикации в Федеральном реестре, официальном журнале федерального правительства, который публикует постановления, уведомления, приказы и другие документы. У более крупных организаций будет 18 месяцев на соблюдение требований после публикации изменений. У небольших организаций будет 24 месяца.
Общественные комментарии по поправкам доступны здесь.
