「金融服務 (GLBA)」報告

這份報告顯示在您的網站上找到的 GLBA 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全,並可能會被視為違反法規。

重要性

1999 年的「金融服務業現代化法案」通稱為「葛拉漢法案 (GLBA)」,其中包括保護金融機構所持有消費者個人金融資訊的規定。這個法案撤銷了蕭條時期區隔銀行業、保險業和證券業的障礙,容許美國金融服務提供者(包括銀行、證券公司和保除公司)彼此密切聯繫,進入對方的巿場。這個法律旨在確保金融機構能夠保護機密的客戶資訊,以防駭客經由具備網路功能的環境來存取的可能性(包括網際網路連線功能和管理安排)。「防護規則」在 2003 年生效,要求採取主導性步驟來確保客戶資訊的自由安全。

雖然這個法律使美國金融景觀現代化,但它也含有重大的個人隱私權和安全元素,其中包括:

  • 以年度為基礎,對於應用程式的綜合性隱私權注意事項規定。隱私權注意事項應該包括:機構收集客戶的哪些相關資訊、與誰分享這些資訊,以及如何防護這些資訊。
  • 用來識別及評量可能威脅客戶資訊之風險的詳細安全原則規定。原則必須描述機構用來實作安全計劃的明確安全措施。
  • 對於與無關的第三方公司進行任何個人資訊分享,得加以拒絕的權利規定。隱私權注意事項必須說明客戶得如何拒絕。隱私權注意事項也必須說明,對於與客戶金融機構之成員,在特定資訊上的分享,如信用報告或申請資訊,客戶有權拒絕。
  • 實作重要安全防護。

符合 GLBA 的最佳實務

  • 在所有線上應用點上,提供隱私權注意事項。
  • 確定在某些線上資訊收集點上,備有拒絕注意事項和機制。
  • 對於線上收集金融資訊,實作安全防護。
  • 確定個人金融資訊未違反分享規則而傳給第三方。
  • 保護客戶記錄的安全或完整性,以免於預料中的危害威脅。
  • 保護這些記錄或資訊,以免遭受會使客戶受到實質傷害或不便的未獲授權之存取或使用。