Présentation
La FTC (Federal Trade Commission) et d'autres organismes de réglementation fédéraux américains ont publié leurs règles et directives finales concernant la protection contre les tentatives d'utilisation frauduleuse d'informations confidentielles. Les nouvelles réglementations ont notamment appliqué les sections 114 (Red Flag Guidelines) et 315 (Reconciling Address Discrepancies) de la loi FACTA (Fair and Accurate Credit Transactions Act), loi contre les transactions de crédit discriminatoires et inexactes. Entré en vigueur le 1er janvier 2008, le règlement final exigeait notamment des institutions financières et des créanciers qu'ils développent et mettent en œuvre un programme de prévention des usurpations d'identité avant le 1er novembre 2008.
Le règlement Identity Theft Red Flags Rule s'applique à l'ensemble des institutions financières concernées, des organismes émetteurs de cartes de crédit et de débit, des utilisateurs de rapports sur les consommateurs et des créditeurs qui :
- collectent et utilisent des informations confidentielles sur les consommateurs ;
- interagissent avec un bureau d'évaluation du crédit ;
- gèrent des comptes concernés par la réglementation pour des personnes privées ou des entreprises.
Le programme de prévention des usurpations d'identité doit notamment inclure des stratégies et procédures raisonnables de détection, de prévention et de réduction des usurpations d'identité. En vertu des réglementations, toute institution est tenue de disposer des éléments suivants :
- Programme de prévention des usurpations d'identité établi et consigné par écrit
- Stratégies et procédures
- Evaluation initiale des risques
- Rapports de conformité réguliers
- Surveillance de fournisseurs de services tiers
- Formations obligatoires du personnel
- Révisions et mises à jour périodiques du programme afin de refléter tout changement éventuel
Principaux avantages
Outre le fait que le respect du règlement Identity Theft Red Flags Rule est obligatoire, la mise en œuvre d'un programme de prévention des usurpations d'identité peut présenter d'autres avantages pour votre entreprise.
- Amélioration du niveau de sécurité
Le règlement Identity Theft Red Flags Rule vous oblige à effectuer des contrôles relatifs à l'usurpation d'identité au sein de votre entreprise, ce qui a pour effet de renforcer le niveau de sécurité général et de réduire le risque de voir des personnes non autorisées accéder à des informations sensibles. - Limitation de l'exposition des informations
L'identification des tentatives d'activités criminelles réduit les chances de succès des divulgations. - Prévention des atteintes à l'image de marque et à la réputation
Si le coût de la réparation des dommages provoqués par les activités frauduleuses peut s'avérer minime, l'atteinte portée à l'image et à la réputation d'une entreprise peut par contre avoir de conséquences incalculables. - Augmentation du niveau de confiance au sein de l'équipe de direction
La mise en conformité offre à la direction la garantie que les mesures de sécurité adéquates ont été mises en œuvre et lui permet ainsi de se concentrer sur d'autres problèmes critiques de l'entreprise.
Méthodologie
L'objectif du règlement Identity Theft Red Flags Rule est d'élaborer, de mettre en œuvre et de documenter un programme de prévention des usurpations d'identité. Le but est de parvenir à un niveau minimal commun de sécurité afin de protéger les informations des comptes. Foundstone Professional Services propose cinq services pour vous aider à vous conformer aux réglementations :
- Analyse du flux de données
- Analyse préliminaire des écarts
- Evaluation des risques
- Développement de stratégies et de procédures
- Développement d'un programme de prévention des usurpations d'identité
Le respect des exigences du règlement Identity Theft Red Flags Rule pourrait nécessiter des ressources supplémentaires. Avec l'aide de Foundstone Professional Services, la mise en conformité permettra de créer un environnement clairement sous contrôle avec, pour résultat, l'ajout de plusieurs contrôles de sécurité au sein de l'entreprise.