Ir al contenido
Ver todas las entradas

Autoridad de Materias Primas: Dándole sentido a Datos de identificación del cliente (CID)

Por Verrion Wright Estrategia y desarrollo de contenidos

5 minuto de lectura

En 2013, la Autoridad de Supervisión del Mercado Financiero Suizo (FINMA) finalizó una versión de un Circular de Riesgo Operacional en los Bancos. Establece requisitos para la gestión del riesgo operativo y la preservación de la confidencialidad de los clientes privados. Además, incluye un nuevo Anexo 3 con principios sobre el manejo de datos electrónicos de clientes y el riesgo inherente a las relaciones bancarias dentro y fuera de Suiza. La circular entró en vigor el 1 de enero de 2015.

¿Por qué son importantes los datos de identificación del cliente (CID)?

La Circular de Riesgo Operacional se centra en instituciones financieras En Suiza, es responsable de mantener la confidencialidad entre el banco y su cliente, así como la integridad de los datos en lo que respecta a la privacidad, la limitación del acceso y la transferencia de datos específicos.

En cuanto a los datos de identificación del cliente (CID), las sentencias obligan a los bancos a categorizar los datos electrónicos de los clientes. Esto requiere, en primer lugar, que las organizaciones determinen los datos de identificación del cliente, es decir, cualquier dato que permita identificar a un cliente o su relación con una institución financiera, como el número de tarjeta de crédito o la fecha de nacimiento.

De acuerdo con la Ley Federal de Protección de Datos, artículo 3, existen tres tipos de CID:

CID directo

Todos los identificadores que permiten la identificación directa incluyen la identificación personal, la identificación de la empresa, la identificación electrónica y la dirección física.

  • nombre
  • correo electrónico
  • identificaciones de redes sociales
  • nombre de empresa
  • firma

CID indirecto

Datos que permiten la identificación de un cliente únicamente cuando se combinan con otros datos, incluidos identificadores de cliente, datos profesionales e identificaciones personales.

  • Números de tarjetas de crédito
  • Identificación fiscal, número de seguro social
  • Identificación del pasaporte
  • Número de cuenta
  • Número de depósito de seguridad
  • ID de usuario/contraseñas
  • Dirección IP

Datos de identificación de clientes indirectos potenciales

Datos que permiten la identificación de un cliente solo cuando se combinan con otros datos y otras circunstancias únicas, incluidos detalles de nacimiento, detalles familiares, detalles de relaciones personales y situaciones de vida.

  • año de nacimiento
  • edad
  • género
  • nacionalidad
  • código postal
  • calificación crediticia
  • membresías de clubes

Las organizaciones deben adoptar la práctica de clasificar los datos de identificación de los clientes en niveles más elevados de confidencialidad y protección.

BigID realiza un inventario de todos los datos personales en todo el entorno de TI para lograr estos pasos iniciales de privacidad y protección de datos. Además, los métodos de descubrimiento de BigID abarcan varios tipos de datos, desde el descubrimiento de activos de datos hasta el descubrimiento de CID, pasando por un análisis completo y detallado. escaneos. Capacidades de descubrimiento de datos de BigID permitir a las organizaciones inventariar, mapear, clasificar y alinear datos con las políticas regulatorias, específicamente la política regulatoria de FINMA.

El desafío del cumplimiento de la CID

El cumplimiento de la CID conlleva requisitos estrictos y, según los principios del reglamento, responsabiliza a la alta dirección de la gestión de los riesgos operativos de privacidad. Los principios exigen que las instituciones financieras adopten un enfoque estandarizado para la gestión de datos, con infraestructura de TI implementada para identificar, limitar y supervisar correctamente los riesgos.

Estos son los desafíos específicos:

  • Descubrimiento y gobernanza de datos: identificación, clasificación y catalogación de todos los CID directos, indirectos y potenciales en todas las aplicaciones y sistemas.
  • Riesgo regulatorio de CID: el manejo de CID indirectos y CID potenciales puede generar combinaciones que podrían ser identificadores, lo que hace que esos datos sean riesgosos.
  • Crecimiento y propiedad de los datos: Es necesario un marco establecido para proteger la confidencialidad de los datos, lo que requiere una entidad supervisora independiente encargada de gestionar el procesamiento interno y externo de los datos electrónicos de los clientes.
  • Transferencia transfronteriza de datos: Todos los CID de Suiza deben asignarse como datos de residencia suiza en todos los archivos y objetos. Esto también requiere la gestión de los flujos de datos y el cumplimiento de los requisitos de residencia de datos.

Acceso a la Confianza Cero para el Cumplimiento de la CID

Algunos de los requisitos más estrictos de protección de datos se refieren al nivel de acceso de los CID. Los datos de los clientes deben protegerse durante todo su ciclo de vida mediante medidas organizativas y tecnológicas de protección en todo momento:

  • Aumentar los requisitos de seguridad para usuarios privilegiados y desprivilegiados
  • Políticas, controles y procesos de acceso para garantizar los derechos de acceso correctos
  • Limitar el acceso electrónico y físico a los datos del cliente
  • Eliminación de datos en base a prohibición legal, conservación y minimización
  • Implementar estándares de confidencialidad y protección de datos para terceros externos (outsourcing, alianzas) que tengan acceso a datos de clientes.
  • Una organización también debe monitorear el uso de datos de terceros y hacer cumplir la forma en que se debe gestionar y proteger el CID.

Estándares de datos personales de la FINMA CID frente al RGPD

Las especificaciones del reglamento FINMA sobre los CID son similares a los estándares de privacidad de datos del RGPD sobre datos personales y sensibles, así como sobre datos considerados como identificables, ya sean directos o indirectos.

El artículo 9 del RGPD tiene un requisito único para las “categorías especiales de datos personales” que revelan indirectamente a un consumidor, lo cual está prohibido ya que se deben cumplir ciertas condiciones para que los datos sean procesados.

Datos personales e identificadores del RGPD:

  • PII (Información personal identificable): nombre, número de teléfono, números de seguro social, números de registro de extranjero o números de licencia de conducir, datos de ubicación, dirección IP
  • Categorías especiales: Datos genéticos, biometría, afiliaciones religiosas, étnicas/raciales y políticas

Debido a matices similares entre FINMA CID y GDPR datos, implementando un equivalente privacidad de los datos y estrategia de protección Para ambas regulaciones se garantizará el cumplimiento.

Cómo BigID ayuda con los datos de identificación del cliente (CID)

BigID permite a las organizaciones cumplir y gestionar los requisitos de Datos de Identificación del Cliente con un enfoque automatizado y escalable para descubrir, clasificar y recopilar información personal que se encuentra dentro del alcance de CID. Con BigID, las organizaciones obtienen:

  • Descubrimiento de datos específicos: La FINMA regula los identificadores de clientes, ya sean directos o indirectos. BigID ayuda a crear un inventario de datos completo para descubrir, mapear y clasificar Datos relacionados con el CID para prepararse mejor para las auditorías regulatorias.
  • Clasificación precisa: Con coincidencia de valores exacta, BigID tecnología basada en gráficos poder identificar y clasificar CID en cualquier entorno de datos, como correo electrónico, unidades compartidas, bases de datos, lagos de datos y más.
  • Gestión de acceso a datos basada en ML: Para el pleno cumplimiento de la FINMA, BigID ayuda mitigar el riesgo con importantes requisitos de acceso abierto Para remediar violaciones de acceso a archivos en CID en todos los entornos de datos.
  • Transferencias de datos validadas: Crear políticas y asignar la residencia suiza a fuentes de datos y datos de individuos para hacer cumplir los requisitos de residencia de datos, monitorear y alertar sobre transferencias transfronterizas de datos.
  • Remediación eficaz: BigID ayuda a definir el remediación acción relacionada con los datos de CID para proporcionar registros de auditoría con integración a sistemas de tickets como Jira para flujos de trabajo de remediación sin inconvenientes.

¿Puedes cumplir con las expectativas de la decisión de la FINMA? Mira cómo BigID Ayuda a las organizaciones a encontrar identificadores críticos de clientes, limitar o restringir el acceso a los datos de CID y remediarlos con registros de auditoría para cumplir con las cambiantes regulaciones de privacidad de Suiza. Obtenga una Demostración 1:1 con expertos en privacidad de datos.

Autor

Verrion Wright

Estrategia y desarrollo de contenidos

Verrion Wright es un ambicioso experto en marketing con más de 20 años de experiencia en marketing de productos, desarrollo de contenidos y estrategia digital. Centrado en la información basada en datos y el marketing integrado, ha ocupado puestos de responsabilidad en diversos sectores, como los servicios informáticos, la privacidad de datos, el marketing y la publicidad (planificación de medios). En BigID, Verrion es el Director de Estrategia y Desarrollo de Contenidos, que ayuda a elevar el contenido a través de todos los pilares, regiones y compradores, creando consistentemente contenido convincente a través de varios medios - incluyendo vídeo, artículos, listas de control, libros blancos y guías.

Contenido