Appeler +1 (888) 896-6207 pour les solutions de gestion intégrée des risques Continuum GRC

SOLUTIONS
Abonnements
BLOG
- QFP
DEMO
GRATUITEMENT
CONTACTEZ NOUS!
- Gestion des services
- Carrières

Votre feuille de route vers la réduction des risques !

Table des Matières

Votre feuille de route vers la réduction des risques !

La plateforme SaaS Continuum GRC ITAM dispose de centaines de modules de plug-in disponibles, tels que :

Image de conformité GRC - Solutions Continuum GRC pour la cybersécurité et l'audit Cybersécurité alimentée par l'IA 2025 Zero Trust Protection contre les rançongiciels Sécurité de la chaîne d'approvisionnement Conformité réglementaire Résilience opérationnelle

Règle de sauvegarde de la FTC

Comme son nom l'indique, l'objectif des normes de protection des informations clients de la Federal Trade Commission (FTC) - la Safeguards Rule, en abrégé - est de garantir que les entités couvertes par la règle maintiennent des mesures de protection pour protéger la sécurité des informations clients. La Safeguards Rule est entrée en vigueur en 2003, mais après les commentaires du public, la FTC l'a modifiée en 2021 pour s'assurer que la règle s'adapte à la technologie actuelle. Tout en préservant la flexibilité de la Safeguards Rule originale, la règle révisée fournit des orientations plus concrètes aux entreprises. Elle reflète les principes fondamentaux de sécurité des données que toutes les entreprises couvertes doivent mettre en œuvre.

Les modules comprennent:

Règle de sauvegarde de la FTC

Commencez votre essai gratuit de 14 jours

Qu'attendez-vous?

Vous n’êtes qu’à une conversation de mettre la puissance de Continuum GRC à votre service.

Contactez-nous en utilisant le formulaire ci-dessous ou en nous appelant au 1-888-896-6207 pour une assistance immédiate.

Nom *

Prénom

léger

Email *

Email

Confirmez votre adresse de courriel

Numéro de téléphone

Société *

Comment pouvons-nous vous aider ? *

Lequel de vous

Souhaitez-vous des services gérés ou des services de préparation ? *

Services de gestion des risques
Services de gestion de la conformité
Services de préparation et de rédaction technique
Quelque chose n'est pas répertorié ?

Quel type d'abonnement vous intéresse ? *

MSP (Fournisseur gérant plusieurs clients)
Entreprise (Gérer votre entreprise)
DIY (Accès limité aux modules préconfigurés)
Quelque chose n'est pas répertorié ?

Vous souhaitez devenir partenaire d'intégration ?

Oui
Non

Quelles questions avez-vous? *

Quelle est votre préférence d'hébergement ? *

Hébergement AWS (commercial)
Hébergement AWS GovCloud autorisé par FedRAMP (gouvernement fédéral et étatique)
Hébergement AWS UE (Commercial)

Quels modules d'abonnement Audit, Réglementaire & Risque vous intéressent ? *

Quels modules d’abonnement Gouvernance et Politique vous intéressent ? *

GovRAMP
FedRAMP
SOC 1 et SOC 2
CMMC ou NIST 800-171
EUCS, C5, ENS
PCI
ISO
HIPAA
Confidentialité, CCPA, CPRA, RGPD, PIPEDA, DPIA
CJIS
NIST800-53
NERC CIB
SEC, NFA et FINRA
Quelque chose n'est pas répertorié ?

Téléchargez notre brochure d'entreprise.

J'accepte de recevoir des communications marketing supplémentaires.

À propos de cette norme

Le Règle de sauvegarde de la FTC, officiellement connu sous le nom de Normes de protection des informations clients, est un règlement émis par le Federal Trade Commission (FTC) sous le Loi Gramm-Leach-Bliley (GLBA)Elle impose aux institutions financières concernées de mettre en œuvre et de maintenir des programmes complets de sécurité de l'information afin de protéger la confidentialité, l'intégrité et la disponibilité des informations personnelles non publiques (INP). Vous trouverez ci-dessous un aperçu de la conformité à la règle de protection de la FTC, décrivant ses principaux éléments, exigences et processus.

Objectif de la règle de sauvegarde de la FTC

La règle de sauvegarde vise à :

Protégez les informations personnelles sensibles des consommateurs contre tout accès, utilisation ou divulgation non autorisés.
Veiller à ce que les institutions financières mettent en œuvre des mesures de sécurité robustes pour protéger les NPI.
Atténuez les risques de violation de données, de vol d’identité et d’autres menaces de cybersécurité.

Portée et applicabilité

Entités couvertes: S'applique aux « institutions financières » telles que définies par la GLBA, y compris les entités engagées dans des activités considérées comme de nature financière, telles que :
- Banques, coopératives de crédit et autres institutions de dépôt.
- Prêteurs hypothécaires, courtiers et gestionnaires de prêts.
- Prêteurs sur salaire, encaisseurs de chèques et sociétés de financement.
- Les compagnies d’assurance, les conseillers en investissement et les courtiers en valeurs mobilières (s’ils ne sont pas réglementés par d’autres agences comme la SEC ou la FINRA).
- Entités non bancaires telles que les préparateurs d'impôts, les agents de recouvrement de créances ou les évaluateurs immobiliers qui gèrent les NPI.
Informations personnelles non publiques (INP): Comprend les informations financières personnellement identifiables fournies par les consommateurs ou collectées par l'institution, telles que :
- Numéros de sécurité sociale, numéros de compte et détails de carte de crédit.
- Informations provenant de demandes de prêt, de rapports de crédit ou d’historiques de transactions.
- Toute donnée permettant d’identifier une personne en rapport avec des services financiers.

Exigences clés de conformité

La règle de protection de la FTC, mise à jour en octobre 2021 et modifiée à compter du 9 juin 2023, définit les exigences spécifiques auxquelles doivent satisfaire les institutions financières pour élaborer et maintenir un programme complet de sécurité de l'information. Les principaux éléments sont les suivants :

Programme écrit de sécurité de l'information (WISP):
- Les institutions doivent élaborer, mettre en œuvre et maintenir un Programme écrit de sécurité de l'information adaptées à leur taille, à leur complexité et à la nature de leurs activités.
- Le WISP doit mettre en place des mesures de protection administratives, techniques et physiques pour protéger les NPI.
Exigences fondamentales en matière de garanties:Le programme doit inclure des mesures de protection qui :
- Assurez Un sécurité et confidentialité des informations clients.
- Protéger contre menaces ou dangers anticipés à la sécurité ou à l’intégrité de ces informations.
- Se prémunir contre l'accès non autorisé ou une utilisation qui pourrait entraîner un préjudice ou un inconvénient substantiel pour les clients.
Neuf éléments clés du programme de sécurité (conformément aux amendements de 2021) :
- Désigner une personne qualifiéeNommer une personne qualifiée (par exemple, un responsable de la sécurité des systèmes d'information) pour superviser, mettre en œuvre et appliquer le programme de sécurité. Il peut s'agir d'un employé ou d'un prestataire externe.
- Évaluation des risques: Effectuer régulièrement des évaluations écrites des risques afin d'identifier les risques internes et externes pesant sur l'INP. Ces évaluations doivent définir des critères d'évaluation des risques et les modalités de leur atténuation.
- Mettre en œuvre des garanties:
  - Utilisez des contrôles d’accès pour authentifier et restreindre l’accès aux NPI en fonction du « besoin de savoir ».
  - Maintenir un inventaire des données et des systèmes pour comprendre où les NPI sont stockés et traités.
  - Chiffrer le NPI à la fois en transit (par exemple, sur les réseaux) et au repos (par exemple, sur les serveurs ou les appareils).
  - Adoptez des pratiques de développement sécurisées pour les applications internes gérant le NPI.
  - Mettre en œuvre l’authentification multifactorielle (MFA) pour toute personne accédant à des systèmes contenant des NPI.
  - Élaborer des politiques de conservation et de suppression des données pour supprimer en toute sécurité les NPI lorsqu’ils ne sont plus nécessaires, à moins que la loi ne l’exige.
  - Maintenir un processus de gestion des changements pour traiter les mises à jour ou les modifications du système.
  - Surveillez et enregistrez l’activité des utilisateurs pour détecter les accès non autorisés ou les anomalies.
- Surveillance continue ou tests de pénétration:Mettre en œuvre une surveillance continue des systèmes ou effectuer des tests de pénétration annuels et des évaluations de vulnérabilité semestrielles.
- Entrainement d'employé:Fournir une formation régulière de sensibilisation à la sécurité aux employés qui manipulent des NPI.
- Surveillance des prestataires de servicesSélectionner et surveiller les prestataires de services tiers afin de garantir qu'ils maintiennent des garanties appropriées en matière de NPI. Les contrats doivent exiger des fournisseurs qu'ils se conforment à la règle relative aux garanties.
- Plan d'intervention en cas d'incident:Élaborer un plan écrit pour répondre aux incidents de sécurité, y compris les violations de données, et s’en remettre.
- Évaluation régulière du programme:Évaluer et mettre à jour périodiquement le programme de sécurité en fonction des évaluations des risques, des résultats des tests ou des changements importants dans les opérations ou les menaces.
Exigences de rapport (pour les grandes institutions) :
- Pour les institutions comptant plus de 5,000 XNUMX clients, la personne qualifiée doit soumettre un rapport annuel écrit au conseil d'administration ou à l'instance dirigeante équivalente. Ce rapport doit comprendre :
  - L’état général du programme de sécurité.
  - Conformité à la règle des garanties.
  - Résultats des évaluations des risques et des tests.
  - Incidents de sécurité et réponses.
  - Recommandations pour l’amélioration du programme.
Exemptions pour les petites institutions:
- Les institutions financières qui collectent des informations sur moins de 5,000 XNUMX consommateurs sont exemptées de certaines exigences, telles que :
  - Évaluations écrites des risques.
  - Surveillance continue ou tests de pénétration.
  - Rapport annuel à un conseil d'administration.
- Ils doivent néanmoins conserver un WISP et respecter les garanties de base.

Application et sanctions

Surveillance de la FTC:La FTC applique la règle de sauvegarde au moyen d'enquêtes, d'audits et de mesures d'application.
Pénalités:Le non-respect peut entraîner :
- Des sanctions civiles pouvant aller jusqu'à 50,120 XNUMX $ par infraction (ajusté en fonction de l'inflation à partir de 2025).
- Injonctions, restitutions ou autres mesures correctives.
- Atteinte à la réputation et perte de confiance des consommateurs.
Exemples:La FTC a engagé des actions coercitives contre des entreprises comme Equifax (2017) et Uber (2018) pour des garanties inadéquates, ce qui a donné lieu à des amendes et des règlements importants.

Étapes clés de conformité

Nommer une personne qualifiée:Désigner une personne responsable pour superviser le programme de sécurité.
Effectuer une évaluation des risques: Identifier les risques pour le NPI et documenter les stratégies d’atténuation.
Développer un WISP:Créer un plan écrit abordant les neuf éléments requis, adapté aux opérations de l’institution.
Mettre en œuvre des garanties:Déployez des contrôles techniques (par exemple, chiffrement, MFA), administratifs (par exemple, formation, politiques) et physiques (par exemple, stockage sécurisé).
Tester et surveiller: Effectuez des tests de pénétration, des analyses de vulnérabilité ou une surveillance continue pour identifier les faiblesses.
Former les employés: Assurez-vous que le personnel est formé aux pratiques de sécurité et conscient de ses responsabilités.
Superviser les fournisseurs:Vérifiez les fournisseurs tiers et incluez la conformité aux règles de garantie dans les contrats.
Préparez-vous aux incidents:Établissez un plan de réponse aux incidents écrit et testez-le régulièrement.
Mettre à jour le programme: Examinez et ajustez le WISP en fonction des nouveaux risques, incidents ou changements commerciaux.

Défis

Complexité et coût:Le développement d’un WISP complet et la mise en œuvre de mesures de protection techniques (par exemple, le cryptage, l’authentification multifacteur) peuvent nécessiter beaucoup de ressources, en particulier pour les petites entreprises.
Surveillance par des tiers: Pour garantir que les fournisseurs se conforment à la règle, il faut une surveillance diligente et des garanties contractuelles.
Menaces en évolution:Suivre l’évolution rapide des menaces de cybersécurité nécessite un investissement continu dans la technologie et la formation.
Chevauchement réglementaire:Les entreprises soumises à d’autres réglementations (par exemple, FINRA, SEC ou lois d’État) doivent gérer des exigences qui se chevauchent.

Avantages de la conformité

Confiance des consommateurs:Des garanties solides renforcent la confiance des clients dans la manière dont l’institution gère les données sensibles.
Atténuation des risques:Un programme de sécurité solide réduit la probabilité et l’impact des violations de données.
Conformité réglementaire:L’adhésion permet d’éviter des pénalités coûteuses et des mesures d’exécution.
Avantage concurrentiel: Démontrer la conformité peut attirer les clients à la recherche de services financiers sécurisés.

Développements récents (en août 2025)

Les amendements de 2021 sont pleinement en vigueur:La règle de sauvegarde mise à jour, entrée en vigueur le 9 juin 2023, a introduit des exigences plus strictes telles que l'authentification multifacteur, le cryptage et les évaluations des risques, reflétant les préoccupations accrues en matière de cybersécurité.
Renforcement de l'application de la loi FTC:La FTC a intensifié les audits et les sanctions en cas de non-conformité, ciblant particulièrement les entreprises ayant des pratiques de cybersécurité inadéquates.
Se concentrer sur les risques liés aux tiers:Des directives récentes mettent l’accent sur le contrôle et la surveillance des prestataires de services afin de prévenir les vulnérabilités de la chaîne d’approvisionnement.
Alignement avec d'autres normes:La règle de sauvegarde s'aligne sur des cadres tels que NISTSP 800-53 FedRAMP pour les agences fédérales, facilitant la conformité des entreprises soumises à de multiples réglementations.

How to Get Started

Revoir le Règle de sauvegarde de la FTC texte et conseils sur ftc.gov.
Utilisez la FTC Guide de cybersécurité pour les petites entreprises pour des étapes pratiques pour développer un WISP.
Faites appel à des consultants en cybersécurité ou à des experts juridiques pour adapter le programme à votre institution.
Mettre en œuvre des outils de chiffrement, d’authentification multifacteur et de surveillance pour répondre aux exigences techniques.

Conclusion

La règle de protection de la FTC établit un cadre rigoureux pour la protection des informations personnelles des consommateurs (INP), exigeant des institutions financières qu'elles mettent en œuvre des programmes de sécurité complets et axés sur les risques. La conformité implique la désignation d'une personne qualifiée, la réalisation d'évaluations des risques, la mise en œuvre de mesures de protection techniques et administratives, et un suivi continu. Le non-respect est passible de sanctions importantes, ce qui rend son respect crucial pour des raisons juridiques, opérationnelles et de réputation.

Des avantages incroyables

Vignette YouTube

Copyright © 2015 - 2026 Continuum GRC, Inc. Tous droits réservés.

SÉCURITÉ DU SITE | POLITIQUE DE CONFIDENTIALITE | POLITIQUE D'UTILISATION | CONDITIONS D'ABONNEMENT