Una visión general de la Regla de Salvaguardias de la FTC

Los concesionarios de automóviles son objetivos casi irresistibles para los ciberdelincuentes. La gran cantidad de datos de consumidores que se recopilan, procesan y almacenan en los sistemas de gestión de concesionarios —números de seguro social, direcciones, puntajes de crédito e información de financiamiento— es un premio gordo de datos para los actores maliciosos y los ladrones de identidad. La Comisión Federal de Comercio informó recientemente más de 70,000 casos de robo de identidad relacionados con préstamos y arrendamientos de automóviles en 2021.

Los nuevos estándares de la FTC para proteger la información de los clientes (llamados la Regla de Salvaguardias) son un conjunto de requisitos de seguridad de datos e información diseñados para proteger los datos personales y del consumidor. Cualquier institución financiera sujeta a la jurisdicción de la FTC que no esté sujeta a otro regulador bajo la Ley Gramm-Leach-Bliley debe cumplir con la Regla de Salvaguardias de la FTC, incluyendo los concesionarios de automóviles.

El anuncio de la Regla de Salvaguardias de la FTC ha dejado a muchos concesionarios luchando por entender sus requisitos e implementar medidas de seguridad antes de la inminente fecha límite de cumplimiento en junio. Pero en lugar de ver las reglas como más obstáculos regulatorios, los concesionarios deberían ver estos nuevos requisitos como un beneficio tanto a corto como a largo plazo para su negocio y sus clientes. La Regla de Salvaguardias de la FTC ofrece a los concesionarios de automóviles una oportunidad tentadora para optimizar sus negocios y sentar las bases para un crecimiento empresarial significativo.

Una visión general de la Regla de Salvaguardias de la FTC

La Regla de Salvaguardias de la FTC, que entra en pleno vigor para los concesionarios de automóviles el 9 de junio de 2023, requiere que los concesionarios tomen medidas adecuadas para garantizar la seguridad de los datos de los clientes, incluyendo información como los números de seguro social, direcciones y detalles de la licencia de conducir.

Los concesionarios deben establecer procedimientos de seguridad razonables para proteger la información personal en su posesión contra el acceso, uso o divulgación no autorizados, así como contra la destrucción no autorizada o la pérdida accidental.

Hay cuatro componentes principales en la Regla de Salvaguardias de la FTC:

1. Requisitos de seguridad de datos: Los concesionarios deben implementar medidas de seguridad razonables para proteger los datos y mantener esas medidas de forma continua. Específicamente, deben tener políticas y procedimientos por escrito que aborden la seguridad de los datos del cliente y requieran que los empleados con acceso a dichos datos tomen medidas para protegerlos. Estas políticas y procedimientos deben incluir:

• Política y prácticas de privacidad, incluyendo dónde se recopila y almacena la información personal, quién puede acceder a ella, cuánto tiempo se mantendrá y cómo los consumidores pueden acceder o solicitar correcciones de su información personal
• Procedimientos para proteger los datos del cliente contra el acceso no autorizado, es decir, encriptación de datos
• Procedimientos para detectar incidentes de seguridad
• Procedimientos para responder apropiadamente en caso de un incidente de seguridad

2. Capacitación en seguridad y privacidad para todos los empleados con acceso a los datos del cliente: El personal debe estar expuesto a las mejores prácticas para mantener la información sensible segura mientras es consciente de las amenazas comunes.

3. Evaluaciones anuales de la efectividad de estas políticas y procedimientos: Las concesionarias son responsables de asegurar que las salvaguardas implementadas sigan funcionando como se pretende para reducir el riesgo.

4. Requisitos de notificación: Si una concesionaria experimenta una violación de la información del consumidor — es decir, acceso o divulgación no autorizada de datos del consumidor — debe notificar a los consumidores afectados dentro de los 30 días, a menos que ya les haya notificado sobre una violación anterior y relacionada.

5 beneficios del cumplimiento de la Regla de Salvaguardas de la FTC para concesionarias de automóviles

Aunque sería fácil para las concesionarias de automóviles ver la Regla de Salvaguardas como tareas de marcar casillas para satisfacer a la FTC, cumplir con estos requisitos ofrece beneficios convincentes para las concesionarias. Un programa robusto de seguridad y cumplimiento impactará positivamente casi todos los aspectos del negocio, desde construir la confianza y lealtad del cliente, hasta optimizar operaciones y reducir riesgos.

1. Reducir el riesgo mediante la construcción de una postura madura de seguridad y privacidad

Las concesionarias de automóviles son atacadas por un promedio de 153 virus y 84 correos electrónicos de spam malicioso todos los días. Solo se necesita uno para resultar en una violación de datos potencialmente devastadora.

Muchas concesionarias carecen de los controles y balances adecuados que acompañan a un programa formal de cumplimiento de seguridad y privacidad. Los riesgos de seguridad están en todas partes y solo se están volviendo más frecuentes. A medida que los ataques aumentan en volumen, complejidad y severidad, las concesionarias de automóviles deben comprometerse a una mayor madurez en sus programas de seguridad y privacidad de datos.

La Regla de Salvaguardas de la FTC ofrece una guía valiosa para que las concesionarias de automóviles adopten las mejores prácticas de seguridad y privacidad, incluyendo procesos formales de gestión de riesgos y cambios, un plan de respuesta a incidentes y monitoreo de acceso, entre otros controles de seguridad fundamentales. Combinados, una postura madura de seguridad y privacidad ayudará a las concesionarias de automóviles a reducir riesgos financieros, legales, regulatorios y reputacionales en su negocio.

2. Mejorar la eficiencia operativa

Reducir el riesgo organizacional y establecer procesos sólidos de seguridad y privacidad finalmente conduce a una mejor eficiencia operativa en toda la organización.

Además de evitar violaciones costosas y cumplir con obligaciones legales y contractuales, implementar las mejores prácticas de seguridad y privacidad ayuda a las concesionarias a crear procesos internos optimizados y escalables que apoyan un crecimiento sostenible. Las actividades de cumplimiento te mantendrán consciente de los riesgos comerciales críticos, te ayudarán a identificar redundancias en software y procedimientos, y garantizarán que el personal esté debidamente capacitado para proteger la información sensible.

La Regla de Salvaguardas de la FTC obliga a las organizaciones que manejan información financiera de los consumidores a implementar medidas para almacenar, procesar y eliminar estos datos de manera segura. Un subproducto de cumplir con la Regla de Salvaguardas es una gestión de datos más efectiva y eficiente, resultando en una mejor calidad de los datos y una toma de decisiones más informada en toda la organización.

3. Modernizar procesos y eliminar la dependencia de registros en papel

El modelo de venta minorista de automóviles continúa evolucionando, y las concesionarias que capitalizan el deseo de los consumidores de mover más del proceso de compra de autos en línea están en posición de ganar. Las aprobaciones de financiamiento en línea, las tasaciones de vehículos y las ofertas de compra se harán más seguras con los controles adecuados de seguridad y privacidad en su lugar. Adoptando la Regla de Salvaguardas de la FTC, las concesionarias de automóviles pueden dar pasos significativos para optimizar el proceso de compra y mejorar la experiencia de ventas al cliente.

Durante la pandemia, muchos concesionarios invirtieron en mejorar el proceso de transacción y los flujos de trabajo tecnológicos asociados, digitalizando el proceso siempre que fuera posible. Sin embargo, incluso con estos cambios, muchos aspectos del proceso de compra de automóviles siguen siendo en papel.

Una plataforma de cumplimiento de seguridad y privacidad puede eliminar esta dependencia de los registros en papel y servir como la única fuente de verdad como el sistema de registro de cumplimiento de seguridad y privacidad del concesionario. Al monitorear continuamente su postura de seguridad, rastrear la capacitación y aceptación de políticas de los empleados, y recolectar automáticamente evidencia, podrá monitorear sus programas de seguridad, privacidad y cumplimiento desde una única herramienta. Si un concesionario alguna vez se encuentra bajo auditoría, tendrá todo lo necesario para demostrar el cumplimiento.

4. Generar confianza y lealtad del cliente

Según una encuesta de Total Dealer Compliance, más del 80% de los consumidores no compraría un automóvil en un concesionario con una violación de datos registrada.

Adherirse a la Regla de Salvaguardas permite a los concesionarios desarrollar e implementar procesos de seguridad y privacidad con estándares de la industria de maneras que sean demostrables para los clientes. La capacitación en concienciación sobre seguridad es solo un ejemplo — el 73% de los consumidores dicen que se sienten más cómodos al trabajar con el personal del concesionario que ha completado la capacitación en seguridad y muestra esas certificaciones en sus escritorios.

Los concesionarios de automóviles que pueden demostrar que tienen los mejores intereses de sus clientes en mente a través de un programa robusto de seguridad y privacidad tienen una ventaja competitiva convincente para ganar la confianza del cliente, construir lealtad del cliente e inspirar compras repetidas.

5. Reducir costos y disminuir el gasto en consultoría

Los consultores de seguridad pueden parecer un camino rápido hacia una postura de seguridad más fuerte, pero la dependencia excesiva de un consultor externo puede impedir que su equipo internalice las mejores prácticas de seguridad y privacidad en sus hábitos y mentalidades diarias de trabajo.

Los consultores pueden cobrar entre $200-300 por hora, pero no logran ofrecer una solución a largo plazo para los concesionarios de automóviles que buscan establecer mejores prácticas de seguridad de la información y privacidad de datos. El consultor puede ofrecer experiencia en las etapas iniciales, pero aún depende del concesionario implementar las políticas y procesos, validar que están funcionando, y mantenerlos actualizados.

La Regla de Salvaguardas proporciona a los concesionarios de automóviles un marco específico para una postura de cumplimiento de seguridad y privacidad sólida sin depender completamente de consultores. Los requisitos especifican mejores prácticas de ciberseguridad que incluyen gestión de activos de información, cifrado de datos, controles de acceso, eliminación segura de datos y otros pasos tangibles para establecer una postura de seguridad y privacidad sólida.

Aprovechando la oportunidad de crecimiento del cumplimiento de seguridad y privacidad

Los concesionarios de automóviles que ven el cumplimiento de la Regla de Salvaguardas de la FTC como una serie de casillas para marcar corren el riesgo de pasar por alto su valor potencial. Implementada correctamente, puede desbloquear un crecimiento rápido en múltiples frentes: adquisición y lealtad de clientes, escalabilidad interna y diferenciación en el mercado. Los concesionarios de automóviles con visión de futuro que aprovechen esta oportunidad pueden cosechar todas las recompensas que un sólido programa de seguridad y privacidad de datos ofrece.

Muchos concesionarios están recurriendo a plataformas de cumplimiento todo en uno para construir sus programas de seguridad y privacidad, redactar políticas, capacitar al personal y agilizar las evaluaciones internas de seguridad para lograr y mantener el cumplimiento con la Regla de Salvaguardas de la FTC. Una plataforma todo en uno que ofrece monitoreo continuo, gestión de personal, gestión de proveedores, gestión de riesgos y más, junto con un socio proveedor que ofrece una profunda experiencia en seguridad, privacidad y cumplimiento para ayudar en el proceso de cumplimiento, ayudará a los concesionarios de automóviles a sacar más provecho de su programa de cumplimiento de seguridad y privacidad y aprovechar esta enorme oportunidad de crecimiento.