Finanssialan henkilötietopoikkeamien ja henkilötietojen tietoturvaloukkausten hallintapolitiikka

Finanssialan henkilötietopoikkeamien ja henkilötietojen tietoturvaloukkausten hallintapolitiikka määrittää vaatimukset henkilötietopoikkeamien ja henkilötietojen tietoturvaloukkausten tunnistamiselle, ilmoittamiselle, luokittelulle ja priorisoinnille, arvioinnille, rajaamiselle, ilmoittamiselle, dokumentoinnille, sulkemiselle ja niistä oppimiselle finanssialan PIMS-soveltamisaloissa. Sitä sovelletaan, kun organisaatio toimii rekisterinpitäjänä, yhteisrekisterinpitäjänä, henkilötietojen käsittelijänä tai alikäsittelijänä finanssialan kontekstissa. Se kattaa myös järjestelmät, sovellukset, palvelut, prosessit, toimittajat, henkilötietojen käsittelijät, alikäsittelijät ja kolmannet osapuolet, jotka käsittelevät, säilyttävät, siirtävät, tukevat, käyttävät tai muutoin vaikuttavat soveltamisalaan kuuluviin henkilötietoihin. Politiikka on nimenomaisesti suunniteltu PII15:n korvaavaksi finanssialan variantiksi, ja se edellyttää organisaatioiden valitsevan joko PII15:n tai PII15-FS:n samaan soveltamisalaan päällekkäisten velvoitteiden, rekisterien ja auditointinäyttötyön välttämiseksi. Politiikan tarkoituksena on varmistaa, että henkilötietopoikkeamat ja henkilötietojen tietoturvaloukkaukset käsitellään johdonmukaisesti, viipymättä, lainmukaisesti, turvallisesti ja auditointia varten valmiin todentavan aineiston avulla. REG10 — Henkilötietopoikkeama- ja tietoturvaloukkausrekisteri määritetään ensisijaiseksi näyttöobjektiksi, ja sitä tukevat rekisterit yhdistävät poikkeamatallenteen laajempaan PIMS-todentavan aineiston malliin. REG01:tä käytetään soveltamisalan, sidosryhmien, toimialakohtaisen kontekstin, asiakkaiden, sopimusperusteisten velvoitteiden ja raportointikontekstin kuvaamiseen. REG02 liittää vaikutuksen kohteena olevat käsittelytoimet, henkilötietoluokat, rekisteröityjen luokat, käyttötarkoitukset, järjestelmät ja palvelut. REG03 tallentaa soveltuvuuslausunnon ja kontrollien soveltuvuuden päivitykset, mukaan lukien PII15:n korvaamisen PII15-FS:llä. REG04 tukee tietosuojariskiä, DPIA:ta, jäännösriskiä ja riskienkäsittelyn linkitystä, kun taas REG08, REG09, REG11 ja REG12 kattavat kolmansien osapuolten rajapinnat, henkilötietojen kansainväliset siirrot, koulutuksen sekä auditoinnin tai korjaavien toimenpiteiden todentavan aineiston. Operatiivisesti politiikka edellyttää, että jokainen ilmoitettu tai havaittu epäilty finanssialan henkilötietopoikkeama kirjataan REG10:een yhden työpäivän kuluessa vastaanottamisesta tai aikaisemmin, jos ilmoitus-, asiakas- tai raportointimääräajat voivat käynnistyä. Poikkeamat on luokiteltava 24 tunnin kuluessa vastaanotosta seuraavasti: muu kuin henkilötietoja koskeva tapahtuma, epäilty henkilötietopoikkeama, vahvistettu henkilötietopoikkeama, vahvistettu henkilötietojen tietoturvaloukkaus, finanssialan henkilötietopoikkeama, merkittävä finanssialan poikkeama, merkittävä kyberuhka tai luokittelua odottava kirjaus. Tietoturvaloukkauksen arvioinnissa on huomioitava vaikutuksen kohteena olevat henkilötiedot, rekisteröidyt, järjestelmät, palvelut, käsittelytoimet, henkilötietojen käsittelijät, alikäsittelijät, siirrot, riskit, asiakkaat, vastapuolet ja korjaavat toimenpiteet. Politiikka edellyttää myös todentavan aineiston säilyttämistä, rajaamista määritetyissä määräajoissa, palautumisen validointia sekä dokumentoituja sulkemispäätöksiä, jotka sisältävät luokittelun, ilmoituspäätöksen, rajaamisen tilan, palautumisen tilan, jäännösriskin, korjaavat toimenpiteet ja todentavan aineiston täydellisyyden. Politiikka erottaa rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän velvoitteet. Rekisterinpitäjien on kirjattava tietoturvaloukkauksesta ilmoittamista koskevat päätökset, valmisteltava valvontaviranomaiselle tehtävän ilmoituksen todentava aineisto tarvittaessa ja katselmoitava rekisteröidylle viestiminen, kun korkea riski tunnistetaan. Henkilötietojen käsittelijöiden ja alikäsittelijöiden on arvioitava asiakkaan ohjeet, sopimusperusteiset ilmoitusvelvoitteet, ylemmän tason ilmoitusketjut ja todentavan aineiston reititysvaatimukset siten, että tallenteita ylläpidetään REG08:ssa ja REG10:ssä. Yhteisrekisterinpitäjien vastuut on koordinoitava ja dokumentoitava ennen soveltuvia ulkoisen ilmoittamisen määräaikoja. Vaikutuksiltaan merkittävien finanssialan henkilötietopoikkeamien ja merkittävien kyberuhkien osalta tietoturvapoikkeamiin reagoinnin koordinaattorin on arvioitava finanssialan sääntelyraportoinnin käynnistimet ja säilytettävä päätösten todentava aineisto REG10:ssä. Hallinnointi, mittaaminen ja parantaminen sisältyvät politiikan elinkaareen. Tietosuojavastaavan / PIMS-päällikön on katselmoitava avoimet REG10-poikkeamat vähintään viikoittain sulkemiseen saakka, ja ylimmän johdon on saatava eskalointi vahvistetuista vaikutuksiltaan merkittävistä finanssialan poikkeamista, merkittävistä poikkeamista tai merkittävistä kyberuhkista 24 tunnin kuluessa luokittelusta. Mittareihin kuuluvat kuukausittaiset määrät epäillyistä ja vahvistetuista poikkeamista, tietoturvaloukkauksista, merkittävistä finanssialan poikkeamista ja merkittävistä kyberuhkista sekä tietoturvaloukkauksesta ilmoittamisen oikea-aikaisuus, finanssialan raportoinnin oikea-aikaisuus, rajaaminen, palautuminen, palauttamisen validointi ja kolmansien osapuolten reagoinnin suorituskyky. Lisäksi politiikka edellyttää vuosittaista katselmointia, poikkeaman jälkiarviointia merkittävien tapahtumien jälkeen, sisäisen tarkastuksen katselmointia, poikkeustenhallintaa, soveltamista REG12-poikkeamien kautta sekä korjaavaa koulutusta REG11:n kautta, kun tietoisuus- tai viestintäpuutteita ilmenee.