Visão geral
A Comissão Federal de Comércio (FTC) dos EUA e outras agências reguladoras financiadas pelo poder público federal publicaram suas regras e diretrizes definitivas para regulamentar as tentativas fraudulentas de usar informações particulares sem autorização. As novas regulamentações implementaram a Seção 114 (Orientações Red Flag) e a seção 315 (Reconciliação de Discrepâncias de Endereço) da Lei de Transações de Crédito Justas e Precisas. A regra definitiva entrou em vigor em 1º de janeiro de 2008, exigindo que as instituições financeiras e os credores desenvolvessem e implementassem um programa de prevenção de roubo de identidades até 1º de novembro de 2008.
A Regra Red Flags para Roubo de Identidade se aplica a qualquer instituição financeira, emissor de cartões de crédito e débito, usuários de relatórios de consumidor e credores que:
- Coletem e utilizem informações confidenciais pessoais do consumidor
- Interajam com um órgão de avaliação de crédito
- Mantenham contas "cobertas" de pessoas físicas e jurídicas
O programa de prevenção de roubo de identidade deve incluir políticas e procedimentos cabíveis para detectar, prevenir e atenuar os roubos de identidade. As normas exigem que uma instituição tenha:
- Um programa formalizado de prevenção de roubo de identidade
- Políticas e procedimentos
- Avaliação inicial de riscos
- Comunicação regular de conformidade
- Supervisão de terceiros prestadores de serviços
- Treinamento obrigatório do pessoal
- Avaliações e atualizações periódicas do programa em caso de alterações
Principais Benefícios
O cumprimento da Regra Red Flags para Roubo de Identidade é obrigatório, mas a implementação de um programa de prevenção de roubo de identidade pode gerar outros resultados positivos para a sua organização.
- Melhor postura de segurança
A Regra Red Flags para Roubo de Identidade exige controles de roubo de identidade dentro da organização, reforçando a postura geral de segurança e reduzindo a probabilidade de que pessoas não autorizadas tenham acesso a informações confidenciais. - Exposição limitada de informações
Identificar tentativas de atividade criminosa reduz a probabilidade de uma violação bem-sucedida. - Prevenção de danos à imagem e à reputação
O custo de corrigir atividades fraudulentas pode ser mínimo, mas os danos à imagem e à reputação de uma organização são imensos. - Aumento do nível de conforto entre a alta administração
A conformidade garante à alta administração que existem medidas de segurança adequadas implementadas, permitindo que eles se dediquem a questões essenciais de negócios.
Metodologia
O objetivo da Regra Red Flags para Roubo de Identidade é estabelecer, implementar e documentar um programa de prevenção de roubo de identidade. A motivação é alcançar um nível mínimo comum de segurança que proteja as informações das contas. A Foundstone Professional Services oferece cinco serviços para auxiliá-lo a atingir a conformidade:
- Análise de fluxo de dados
- Análise preliminar de defasagem
- Avaliação de riscos
- Desenvolvimento de políticas e procedimentos
- Desenvolvimento de um programa de prevenção de roubo de identidade
Cumprir as exigências da Regra Red Flags para Identidades pode exigir recursos adicionais. Com o auxílio da Foundstone Professional Services, a conformidade levará a um ambiente nitidamente controlado, gerando o acréscimo de vários controles de segurança dentro da organização.