Übersicht
Die US-Kartellbehörde (Federal Trade Commission) und andere Bundesfinanzaufsichtsbehörden haben ihre endgültigen Regeln und Richtlinien für die Regulierung betrügerischer Versuche zur unerlaubten Nutzung von persönlichen Daten veröffentlicht. In den neuen Richtlinien wurden Paragraph 114 (Red-Flag-Richtlinien) und Paragraph 315 (Abstimmung von Adressdiskrepanzen) des Gesetzes für faire und akkurate Kredittransaktionen (Fair and Accurate Credit Transactions Act, FACTA) eingeführt. Das endgültige Gesetz trat am 1. Januar 2008 in Kraft und sah vor, dass Finanzinstitute und Kreditgeber bis zum 1. November 2008 ein Programm gegen Identitätsdiebstahl entwickeln und implementieren.
Die Red-Flag-Richtlinien gegen Identitätsdiebstahl (Identity Theft Red Flags Rules) gelten für Finanzinstitute, Kredit- und Debitkartenausgabeinstitute, Benutzer von Verbraucherauskünften und Kreditgeber, die folgende Punkte erfüllen:
- Erfassung und Verwendung von verbrauchervertraulichen persönlichen Daten
- Interaktion mit einem Kreditauskunftsbüro
- Unterhaltung "abgedeckter" Konten für Einzelpersonen oder Unternehmen
Das Programm zur Verhinderung von Identitätsdiebstahl muss vernünftige Richtlinien und Verfahren zur Aufdeckung, Verhinderung und Minderung von Identitätsdiebstahl enthalten. Die Bestimmungen geben vor, dass das Institut über folgende Punkte verfügen muss:
- Ein etabliertes, schriftliches Programm zur Verhinderung von Identitätsdiebstahl
- Richtlinien und Verfahren
- Erstrisikobewertung
- Regelmäßige Compliance-Berichte
- Aufsicht über die Drittanbieter
- Obligatorische Mitarbeiterschulungen
- Periodische Prüfungen und Aktualisierungen des Programms bei auftretenden Änderungen
Wichtige Vorteile
Die Einhaltung der Red-Flag-Bestimmung gegen Identitätsdiebstahl ist verpflichtend. Darüber hinaus kann die Implementierung eines Programms zur Verhinderung von Identitätsdiebstahl jedoch auch zu weiteren positiven Ergebnissen in Ihr Unternehmen führen.
- Verbesserte Sicherheitsstruktur
Die Red-Flag-Bestimmung sieht zwingend vor, dass Kontrollen gegen den Identitätsdiebstahl im Unternehmen geschaffen werden, wodurch die Gesamtsicherheit verbessert und die Wahrscheinlichkeit unerlaubter Zugriffe von Einzelpersonen auf sensible Daten verringert wird. - Begrenzte Datenkompromittierung
Die Erkennung versuchter krimineller Aktivitäten senkt die Wahrscheinlichkeit einer erfolgreichen Regelverletzung. - Verhinderung von Imageschäden und Ansehensverlusten
Die aus betrügerischen Aktivitäten entstehenden Reparaturkosten können minimal, der entstandene Schaden für das Image und das Ansehen jedoch unermesslich groß sein. - Höheres Sicherheitsgefühl bei führenden Mitarbeitern
Die Einhaltung der Richtlinien gibt führenden Mitarbeiter die Sicherheit, dass geeignete Schutzmaßnahmen vorhanden sind, sodass sie ihre Aufmerksamkeit auf andere wichtige Unternehmensangelegenheiten richten können.
Methode
Ziel der Red-Flag-Bestimmung gegen Identitätsdiebstahl ist die Aufstellung, Implementierung und Dokumentation eines Programms zur Verhinderung von Identitätsdiebstahl. Dadurch soll ein allgemeines Minimum an Sicherheit und somit ein Schutz der Kontendaten erreicht werden. Foundstone Professional Services bietet fünf Dienste an, die Sie bei der Erreichung der Compliance unterstützen:
- Datenflussanalyse
- Vorbereitende Schwachstellenanalyse
- Risikobewertung
- Entwicklung von Richtlinien und Prozessen
- Entwicklung eines Programms zur Verhinderung von Identitätsdiebstahl
Die Einhaltung der Anforderungen der Red-Flag-Bestimmung gegen Identitätsdiebstahl erfordert möglicherweise zusätzliche Ressourcen. Mit der Unterstützung von Foundstone Professional Services führt die Compliance zu einer genau kontrollierten Umgebung, da weitere Sicherheitskontrollen in einer Organisation eingeführt werden.