Definition und Zweck

Die Standards der Federal Trade Commission zum Schutz von Kundeninformationen – auch bekannt als FTC Safeguards Rule, die Safeguards Rule oder kurz die Rule – legen Richtlinien und Anforderungen für Organisationen fest, die sensible Kundendaten verarbeiten, um sich gegen erwartete Bedrohungen oder Gefahren und unbefugten Zugriff zu schützen.

Zweck ist es, die Vertraulichkeit und Sicherheit nicht-öffentlicher, persönlicher Informationen der Kunden von Finanzinstituten zu gewährleisten.

Regelungsbehörde

Die Federal Trade Commission (FTC) ist die Regelungsbehörde, die für die Überwachung und Durchsetzung der Standards zum Schutz von Kundeninformationen verantwortlich ist. Die FTC spielt eine entscheidende Rolle beim Schutz der Verbraucher, der Privatsphäre und fairer Geschäftspraktiken.

Zuletzt aktualisiert

Die letzte größere Aktualisierung der Safeguards Rule erfolgte 2021 nach öffentlicher Kommentierung. Die FTC änderte sie, um sicherzustellen, dass die Rule mit der aktuellen Technologie Schritt hält.

Kürzlich, im November 2023, verabschiedete die FTC die Endfassung der Regel, um von Finanzinstituten zu verlangen, dass sie Ereignisse melden, bei denen mehr als 500 Kunden betroffen sind durch die unbefugte Übernahme unverschlüsselter Kundeninformationen, an die FTC melden.

Gelten für

Die FTC Safeguards Rule gilt in erster Linie für Finanzinstitute, die nicht-öffentliche persönliche Informationen von Verbrauchern verarbeiten. Beispiele für Finanzinstitute sind Hypothekengeber, Kurzzeitkreditgeber, Finanzunternehmen, Hypothekenmakler, Kontoservicer, Scheckeinlöser, Geldtransferdienstleister, Inkassobüros, Kreditberater und andere Finanzberater sowie Steuererstellungsunternehmen.

 Sie kann sich auch auf verschiedene Branchen erstrecken, die mit sensiblen Kundendaten umgehen, wie Autohändler.

Diese Regel gilt insbesondere für Finanzinstitute, die der Zuständigkeit der FTC unterliegen und nicht der Aufsichtsbehörde eines anderen Regulators gemäß Abschnitt 505 des Gramm-Leach-Bliley Act, 15 U.S.C. § 6805, unterstehen.

Kontrollen und Anforderungen

Die FTC Safeguards Rule verlangt von den betroffenen Finanzinstituten, ein Informationssicherheitsprogramm mit administrativen, technischen und physischen Sicherheitsmaßnahmen zu entwickeln, umzusetzen und aufrechtzuerhalten, um Kundeninformationen zu schützen. Diese Sicherheitsmaßnahmen sind nur ein Element, das das Informationssicherheitsprogramm Ihres Unternehmens umfassen muss, um den Anforderungen der Rule zu entsprechen.

Weitere Elemente umfassen:

• Benennung einer Qualifizierten Person zur Implementierung und Überwachung des Informationssicherheitsprogramms Ihres Unternehmens
• Durchführung regelmäßiger Risikobewertungen
• Schulung Ihres Personals
• Überwachung Ihrer Dienstanbieter
• Aktuell halten Ihres Informationssicherheitsprogramms
• Erstellen eines schriftlichen Vorfallsreaktionsplans
• Anforderung an Ihre Qualifizierte Person, an den Vorstand zu berichten

Bitte konsultieren Sie die offizielle Dokumentation für eine detaillierte Liste der Anforderungen und Schutzmaßnahmen.

Audittyp, Häufigkeit und Dauer

Die FTC Safeguards Rules erfordern, dass Unternehmen regelmäßige Risikoanalysen durchführen und regelmäßig die Wirksamkeit ihrer Schutzmaßnahmen testen oder anderweitig überwachen. Um die letztgenannte Anforderung zu erfüllen, können Unternehmen kontinuierliche Überwachung implementieren oder regelmäßige Penetrationstests und Schwachstellenanalysen durchführen, einschließlich systemweiter Scans alle sechs Monate.

Die Regel erfordert auch, dass die Qualifizierten Personen in jedem gedeckten Unternehmen mindestens einmal jährlich schriftlich an ihren Vorstand oder das entsprechende Leitungsgremium berichten. Dieser Bericht muss eine Gesamtbewertung der Einhaltung des Informationssicherheitsprogramms Ihres Unternehmens enthalten.