FINMA : Donner du sens à Données d'identification du client (CID)

En 2013, l’Autorité fédérale de surveillance des marchés financiers (FINMA) a finalisé une version d’un Circulaire sur le risque opérationnel dans les banques. Elle fixe les exigences en matière de gestion du risque opérationnel et de préservation de la confidentialité des clients privés. Elle contient également une nouvelle annexe 3, qui définit les principes régissant le traitement des données électroniques des clients et les risques liés aux relations bancaires en Suisse et à l'étranger. La circulaire est entrée en vigueur le 1er janvier 2015.

Pourquoi les données d’identification du client (CID) sont-elles importantes ?

La circulaire sur les risques opérationnels se concentre sur les institutions financières en Suisse, responsable du maintien de la confidentialité des données bancaires et de l'intégrité des données concernant la confidentialité, la limitation de l'accès et le transfert de données spécifiques.

Concernant les données d'identification des clients (DIC), les décisions obligent les banques à catégoriser les données électroniques des clients. Cela exige d'abord que les organisations déterminent les données d'identification des clients, c'est-à-dire toute donnée permettant d'identifier un client ou son lien avec une institution financière, comme un numéro de carte de crédit ou une date de naissance.

Selon l'article 3 de la loi fédérale sur la protection des données, il existe trois types de CID :

CID direct

Tous les identifiants permettant une identification directe comprennent l’identification personnelle, l’identification de l’entreprise, l’identification électronique et l’adresse physique.

• nom
• e-mail
• identifiants de médias sociaux
• Nom de l'entreprise
• signature

CID indirect

Données permettant d'identifier un client uniquement lorsqu'elles sont combinées avec d'autres informations, notamment les identifiants client, les données de carrière et les identifiants personnels.

• Numéros de cartes de crédit
• Numéro d'identification fiscale, SSN
• pièce d'identité du passeport
• Numéro de compte
• Numéro de coffre-fort
• Identifiant utilisateur/mots de passe
• Adresse IP

Données d'identification indirectes potentielles des clients

Données qui permettent d’identifier un client uniquement lorsqu’elles sont combinées avec d’autres informations et d’autres circonstances uniques, y compris les détails de naissance, les détails familiaux, les détails des relations personnelles et les situations de vie.

• année de naissance
• âge
• genre
• nationalité
• code postal
• notation de crédit
• adhésions à des clubs

Les organisations sont tenues d’adopter la pratique consistant à classer les données d’identification des clients à des niveaux de confidentialité et de protection plus élevés.

BigID inventorie toutes les données personnelles de l'ensemble du système informatique afin de réaliser ces premières étapes de confidentialité et de protection des données. De plus, les méthodes de découverte de BigID couvrent plusieurs types de données, allant de la découverte d'actifs de données à la découverte d'identifiants clients (CID) en passant par une analyse détaillée. scans. Capacités de découverte de données de BigID permettre aux organisations d'inventorier, de cartographier, de classer et d'aligner les données sur les politiques réglementaires, en particulier la politique réglementaire de la FINMA.

Le défi de la conformité CID

La conformité au CID s'accompagne d'exigences strictes et, conformément aux principes de la réglementation, place la direction responsable de la gestion des risques opérationnels liés à la confidentialité. Ces principes exigent des institutions financières qu'elles adoptent une approche standardisée de la gestion des données, avec une infrastructure informatique en place pour identifier, limiter et surveiller correctement les risques.

Voici les défis spécifiques :

• Découverte et gouvernance des données : identification, classification et catalogage de tous les CID directs, indirects et potentiels dans toutes les applications et tous les systèmes.
• Risque réglementaire CID : la gestion des CID indirects et potentiels peut conduire à des combinaisons qui pourraient être des identifiants, rendant ces données risquées.
• Croissance et propriété des données : Il est nécessaire de mettre en place un cadre établi pour protéger la confidentialité des données, ce qui nécessite une entité de surveillance indépendante chargée de gérer le traitement interne et externe des données électroniques des clients.
• Transfert transfrontalier de données : Tous les identifiants de données (CID) suisses doivent être attribués comme données de résidence suisses pour tous les fichiers et objets. Cela nécessite également la gestion des flux de données et le respect des exigences de résidence des données.

Accès à Zero Trust pour la conformité CID

Certaines des exigences les plus strictes en matière de protection des données concernent le niveau d'accès des CID. Les données clients doivent être protégées tout au long de leur cycle de vie par des mesures organisationnelles et technologiques de protection permanentes :

• Augmentation des exigences de sécurité pour les utilisateurs privilégiés et défavorisés
• Politiques d'accès, contrôles et processus pour garantir des droits d'accès corrects
• Limiter l'accès électronique et physique aux données des clients
• Suppression des données sur la base d'une interdiction légale, conservation et minimisation
• Mettre en œuvre des normes de confidentialité et de protection des données pour les tiers externes (externalisation, partenariats) ayant accès aux données clients.
• Une organisation doit également surveiller l’utilisation des données par des tiers et appliquer la manière dont les CID doivent être gérés et protégés.

Normes de données personnelles FINMA CID vs. RGPD

Les spécifications du règlement FINMA sur les CID sont similaires aux normes de confidentialité des données du RGPD sur les données personnelles et sensibles – et les données considérées comme des données identifiables, qu’elles soient directes ou indirectes.

L’article 9 du RGPD impose une exigence unique pour les « catégories particulières de données personnelles » qui révèlent indirectement un consommateur, ce qui est interdit car certaines conditions doivent être remplies pour que les données soient traitées.

Données personnelles et identifiants RGPD :

• PI (Informations personnelles) : nom, date de naissance, informations de santé, orientation sexuelle, dossiers des employés

• PII (informations personnelles identifiables) : nom, numéro de téléphone, numéros de sécurité sociale, numéros d'enregistrement d'étranger ou numéros de permis de conduire, données de localisation, adresse IP
• Catégories spéciales : Données génétiques, biométrie, appartenances religieuses, ethniques/raciales et politiques

En raison de nuances similaires entre FINMA CID & GDPR données, mise en œuvre d'un équivalent confidentialité des données et stratégie de protection car les deux réglementations garantiront le respect de la conformité.

Comment BigID aide à identifier les données clients (CID)

BigID permet aux organisations de répondre aux exigences en matière de données d'identification client et de les gérer grâce à une approche automatisée et évolutive pour découvrir, classer et collecter les informations personnelles relevant du champ d'application de la CID. Avec BigID, les organisations bénéficient des avantages suivants :

• Découverte de données ciblées : La FINMA réglemente les identifiants clients, qu'ils soient directs ou indirects. BigID permet de constituer un inventaire complet des données pour découvrir, cartographier et classer Données relatives au CID pour mieux se préparer aux audits réglementaires.
• Classification précise : Avec une correspondance de valeur exacte, BigID technologie basée sur les graphiques peut identifier et classer CID dans n'importe quel environnement de données comme la messagerie électronique, les lecteurs partagés, les bases de données, les lacs de données, etc.
• Gestion de l'accès aux données basée sur le ML : Pour une conformité totale avec la FINMA, BigID aide atténuer les risques grâce à des exigences importantes en matière d'accès libre remédier violations d'accès aux fichiers sur les CID dans tous les environnements de données.
• Transferts de données validés : Créer des politiques et attribuer la résidence suisse à sources de données et les données individuelles pour faire respecter les exigences de résidence des données, surveiller et alerter sur transferts de données transfrontaliers.
• Remédiation efficace : BigID aide à définir le remédiation action liée aux données CID pour fournir des enregistrements d'audit avec intégration aux systèmes de billetterie comme Jira pour des flux de travail de correction transparents.

Êtes-vous en mesure de répondre aux attentes de la décision de la FINMA ? Découvrez comment. BigID Aide les organisations à identifier les identifiants clients critiques, à limiter ou restreindre l'accès aux données CID et à corriger les erreurs grâce aux enregistrements d'audit afin de rester en conformité avec l'évolution de la réglementation suisse en matière de confidentialité. Démonstration 1:1 avec des experts en confidentialité des données.

Auteur

Verrion Wright

Stratégie et développement du contenu

Verrion Wright est un spécialiste du marketing très expérimenté et ambitieux, avec plus de 20 ans d'expérience dans le marketing produit, le développement de contenu et la stratégie numérique. Il a occupé des postes de direction dans divers secteurs, notamment les services informatiques, la confidentialité des données, le marketing et la publicité (planification des médias), en mettant l'accent sur les connaissances fondées sur les données et le marketing intégré. Chez BigID, Verrion est le directeur de la stratégie et du développement de contenu, qui aide à élever le contenu à travers tous les piliers, les régions et les acheteurs, en créant systématiquement un contenu convaincant sur plusieurs supports - y compris la vidéo, les articles, les listes de contrôle, les livres blancs et les guides.