为什么汽车经销商需要网络安全服务？

Tom Smith //

在黑山信息安全公司（BHIS），我们服务各类公共和私营客户。但直到一两个月前，我们从未接触过汽车经销商。然而最近几周，我们已与多家经销商进行沟通。
原因何在？
原来美国联邦贸易委员会（FTC）裁定汽车经销商现在需遵守《Gramm-Leach-Bliley保障规则》。自2023年6月9日起，该规则适用于汽车经销商。规则要求金融机构采取措施确保其持有的消费者数据安全。新变化在于：拥有5000条及以上潜在客户记录的汽车经销商现被视为"金融机构"。只要您经营一段时间且月销量超过几辆车，就需遵守新规。

但如何达到合规要求？
只需遵循数据安全的基本行业最佳实践：实施信息安全计划以保护客户数据。第314.4节规定了信息安全计划必须包含的九项要求：

您必须：

• 指定合格人员监督计划（可为员工、承包商或供应商）
• 基于书面风险评估制定计划（需诚实评估当前安全状况）
• 实施控制措施降低已识别风险（多数情况要求全系统启用多因素认证）
• 通过渗透测试评估控制措施有效性
• 要求第三方供应商遵守可靠安全实践
• 随技术态势变化更新信息安全计划（尤其根据渗透测试结果）
• 维护书面事件响应（IR）计划（明确数据泄露应对步骤）
• 要求合格人员至少每年向高层领导汇报状态

未合规机构将面临FTC罚款。
若您因新规首次接触网络安全，可能感到困惑。请记住：这些是除最小企业外都在推行的基础安全实践。因此，针对您这类组织的免费和低成本资源非常丰富。
BHIS可提供帮助！

相关BHIS内容：

• 让合规更轻松 | John Strand | BHIS Nuggets – YouTube
• AASLR：桌面演练与IR手册导览（非宗教冬季假日版）– YouTube

如有合规问题，请联系：[email protected]

延伸阅读：

• 保障规则
• FTC保障规则：企业须知 | 联邦贸易委员会
• FTC保障规则 | NADA

Ready to learn more?
通过Antisyphon的实惠课程提升技能！
支持随付随训的直播/虚拟及点播培训

Shenetworks推荐：像专家一样使用Nmap — 谈信息安全新闻（2023年6月9日）

[返回顶部]

黑山信息安全公司
890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447)
© 2008-2024
关于我们 | BHIS企业联盟 | 隐私政策 | 联系我们

网站链接 | 站内搜索