Regla de Salvaguardias de la FTC
Los estándares de la Comisión Federal de Comercio para la Protección de Información del Cliente es un marco regulatorio destinado a garantizar la seguridad y confidencialidad de la información del cliente en manos de instituciones financieras y otras entidades.
Solicitar una demostración de los Marcos Personalizados de SecureframeDefinición y propósito
Los estándares de la Comisión Federal de Comercio para la Protección de Información del Cliente, también conocidos como la Regla de Salvaguardias de la FTC, la Regla de Salvaguardias o simplemente la Regla, establecen pautas y requisitos para que las entidades cubiertas que manejan datos sensibles de clientes se protejan contra amenazas o peligros anticipados y accesos no autorizados.
Su propósito es garantizar la confidencialidad y seguridad de la información personal no pública de los clientes de instituciones financieras.
Órgano Gobernante
La Comisión Federal de Comercio (FTC, por sus siglas en inglés) es el órgano de gobierno responsable de supervisar y hacer cumplir los Estándares para la Protección de la Información del Cliente. La FTC juega un papel crucial en la promoción de la protección del consumidor, la privacidad y las prácticas comerciales justas.
Última Actualización
La última actualización importante de la Regla de Salvaguardias fue en 2021, después de un comentario público. La FTC la enmendó para asegurarse de que la Regla esté a la par con la tecnología actual.
Más recientemente, en noviembre de 2023, la FTC emitió la Regla Final para enmendar la Regla de Salvaguardias y requerir que las instituciones financieras informen eventos de notificación, definidos como la adquisición no autorizada de información de clientes no cifrada, que involucre al menos a 500 clientes a la FTC.
Se Aplica a
La Regla de Salvaguardias de la FTC se aplica principalmente a las instituciones financieras que manejan información personal no pública de los consumidores. Ejemplos de instituciones financieras incluyen prestamistas hipotecarios, prestamistas de día de pago, compañías financieras, corredores hipotecarios, servicios de cuentas, cambistas de cheques, transferencias de dinero, agencias de cobranza, asesores de crédito y otros asesores financieros, y firmas de preparación de impuestos.
También puede extenderse a diversas industrias que manejan datos sensibles de clientes, como concesionarios de automóviles.
Más específicamente, esta regla se aplica a instituciones financieras sujetas a la jurisdicción de la FTC y que no están sujetas a la autoridad de ejecución de otro regulador bajo la sección 505 de la Ley Gramm-Leach-Bliley, 15 U.S.C. § 6805.
Controles y Requisitos
La Regla de Salvaguardias de la FTC requiere que las instituciones financieras cubiertas desarrollen, implementen y mantengan un programa de seguridad de la información con salvaguardias administrativas, técnicas y físicas diseñadas para proteger la información del cliente. Estas salvaguardias son solo un elemento que el programa de seguridad de la información de su empresa debe incluir para cumplir con la Regla.
Otros elementos incluyen:
- Designar a una Persona Calificada para implementar y supervisar el programa de seguridad de la información de su empresa
- Realizar evaluaciones de riesgo periódicas
- Capacitar a su personal
- Monitorear a sus proveedores de servicios
- Mantener su programa de seguridad de la información actualizado
- Crear un plan de respuesta a incidentes por escrito
- Requerir que su Individuo Calificado informe a su Junta Directiva
Consulte la documentación oficial para obtener una lista detallada de requisitos y salvaguardas.
Tipo de auditoría, frecuencia y duración
Las Reglas de Salvaguardas de la FTC requieren que las entidades realicen evaluaciones de riesgos periódicas y prueben o monitoreen regularmente la efectividad de sus salvaguardas. Para cumplir con este último requisito, las entidades pueden implementar monitoreo continuo o realizar pruebas de penetración periódicas y evaluaciones de vulnerabilidad, incluidas exploraciones de todo el sistema cada seis meses.
La Regla también requiere que los Individuos Calificados en cada entidad cubierta informen por escrito, al menos una vez al año, a su junta directiva o cuerpo gobernante equivalente. Este informe debe incluir una evaluación general del cumplimiento de su empresa con su programa de seguridad de la información.