Panoramica
La Federal Trade Commission (FTC) e altri enti normativi di carattere federale hanno pubblicato le regole e le direttive finali per disciplinare i tentativi fraudolenti di utilizzo delle informazioni riservate senza autorizzazione. Le nuove norme sono implementate nella Sezione 114 (Red Flag Guidelines) e nella Sezione 315 (Reconciling Address Discrepancies) del FACTA (Fair and Accurate Credit Transactions Act). La legge definitiva è entrata in vigore il 1 gennaio 2008, e richiedeva agli istituti finanziari e di credito di sviluppare e implementare un programma di prevenzione contro il furto di identità entro il 1 novembre 2008.
L'Identity Theft Red Flags Rule (il servizio di regole sulle segnalazioni dei furti di identità) si applica a tutti gli istituti finanziari, agli istituti che emettono carte di credito e debito, agli utenti di report sui consumatori e agli istituti di credito che:
- raccolgono e utilizzano informazioni personali riservate
- interagiscono con un ufficio di segnalazione dei crediti
- gestiscono conti "coperti" per singoli o aziende
Il programma di prevenzione del furto d'identità deve includere delle policy e delle procedure applicabili per individuare, prevenire e mitigare il furto delle identità. Le regole prevedono che un istituto abbia:
- un programma di prevenzione del furto d'identità definito e redatto in forma scritta
- policy e procedure
- una valutazione iniziale dei rischi
- una segnalazione regolare della conformità
- una supervisione di fornitori di servizi esterni
- una formazione obbligatoria dello staff
- analisi e aggiornamenti periodici del programma che riflettano le modifiche
Vantaggi principali
La conformità con l'Identity Theft Red Flags Rule (il servizio di regole sulle segnalazioni dei furti di identità) è obbligatoria, ma implementare un programma di prevenzione del furto d'identità può avere anche delle altre conseguenze positive per un'azienda.
- Migliore situazione in termini di sicurezza
L'Identity Theft Red Flags Rule (il servizio di regole sulle segnalazioni dei furti di identità) obbliga a eseguire dei controlli sul furto di ID all'interno dell'azienda, potenziando lo stato di sicurezza a livello generale e riducendo la probabilità che individui non autorizzati accedano alle informazioni sensibili. - Esposizione limitata delle informazioni
L'identificazione dei tentativi di attività criminale riduce la probabilità di riuscita di una violazione. - Prevenzione del danno di immagine e di reputazione
Il costo legato al rimedio di attività fraudolente potrebbe essere minimo, ma il danno arrecato all'immagine e alla reputazione di un'azienda è incommensurabile. - Maggiore senso di sicurezza per l'amministrazione
Con la conformità alla regola, l'amministrazione può essere certa della presenza delle misure di difesa adeguate e concentrarsi su altri aspetti strategici per l'azienda.
Metodologia
L'obiettivo dell'Identity Theft Red Flags Rule (il servizio di regole sulle segnalazioni dei furti di identità) è stabilire, implementare e documentare un programma di prevenzione del furto di identità. La motivazione che giustifica tale regola è il raggiungimento di un livello di sicurezza minimo comune che protegga le informazioni sui conti. Foundstone Professional Services offre cinque servizi per assisterti nel raggiungimento della conformità:
- analisi del flusso di dati
- analisi preliminare delle carenze
- valutazione dei rischi
- sviluppo delle policy e delle procedure
- sviluppo del programma di prevenzione del furto d'identità
La soddisfazione dei requisiti dell'Identity Theft Red Flags Rule (il servizio di regole sulle segnalazioni dei furti di identità) potrebbe richiedere delle risorse aggiuntive. Con Foundstone Professional Services, oltre alla conformità si otterrà un ambiente ottimamente controllato che supporterà l'aggiunta di numerosi controlli sulla sicurezza di un'azienda.