Pénzügyi szektorbeli PII-incidens- és adatsértéskezelési szabályzat

A Pénzügyi szektorbeli PII-incidens- és adatsértéskezelési szabályzat követelményeket határoz meg a PII-incidensek és PII-adatsértések azonosítására, bejelentésére, triage alá vonására, osztályozására, értékelésére, elszigetelésére, bejelentésére, dokumentálására, lezárására és az azokból következő fejlesztésekre a pénzügyi szektorbeli PIMS-alkalmazási területeken. Akkor alkalmazandó, ha a szervezet pénzügyi szektorbeli környezetben PII-adatkezelőként, közös adatkezelőként, adatfeldolgozóként vagy al-adatfeldolgozóként jár el, és kiterjed azokra a rendszerekre, alkalmazásokra, szolgáltatásokra, folyamatokra, beszállítókra, adatfeldolgozókra, al-adatfeldolgozókra és harmadik felekre is, amelyek az alkalmazási területen belüli PII-t kezelik, tárolják, továbbítják, támogatják, ahhoz hozzáférnek vagy arra egyéb módon hatással vannak. A szabályzat kifejezetten a PII15 pénzügyi szektorbeli helyettesítő változataként készült, és előírja, hogy a szervezetek ugyanarra az alkalmazási területre vagy a PII15-öt, vagy a PII15-FS-t válasszák, elkerülve a párhuzamos kötelezettségeket, nyilvántartásokat és auditbizonyítékokkal kapcsolatos munkát. A szabályzat célja annak biztosítása, hogy a PII-incidenseket és adatsértéseket következetesen, haladéktalanul, jogszerűen, biztonságosan és auditra való felkészültséget biztosító bizonyítóanyagokkal kezeljék. A REG10 — PII-incidens- és adatsértési nyilvántartás elsődleges bizonyítékobjektumként kerül meghatározásra, míg a támogató nyilvántartások az incidensbejegyzést a tágabb PIMS-bizonyítéki modellhez kapcsolják. A REG01 az alkalmazási terület, az érdekelt felek, az ágazati, ügyfél-, szerződéses és jelentéstételi kontextus rögzítésére szolgál. A REG02 összekapcsolja az érintett adatkezelési tevékenységeket, PII-kategóriákat, PII-alanyi kategóriákat, célokat, rendszereket és szolgáltatásokat. A REG03 rögzíti az alkalmazhatósági nyilatkozatot és a kontrollalkalmazhatósági frissítéseket, beleértve a PII15-nek a PII15-FS általi helyettesítését. A REG04 támogatja az adatvédelmi kockázat, a DPIA, a maradványkockázat és a kockázatkezelés összekapcsolását, míg a REG08, REG09, REG11 és REG12 a harmadik féllel kapcsolatos interfészeket, a nemzetközi adattovábbításokat, a képzést, valamint az audit- vagy helyesbítő intézkedési bizonyítékokat fedik le. Működési szinten a szabályzat előírja, hogy minden bejelentett vagy észlelt, feltételezett pénzügyi szektorbeli PII-incidenst a beérkezéstől számított egy munkanapon belül vagy hamarabb kell rögzíteni a REG10-ben, ha bejelentési, ügyfél- vagy jelentéstételi határidők aktiválódhatnak. Az incidenseket az incidensfelvételtől számított 24 órán belül nem PII-eseményként, feltételezett PII-incidensként, megerősített PII-incidensként, megerősített PII-adatsértésként, pénzügyi szektorbeli PII-incidensként, súlyos pénzügyi szektorbeli incidensként, jelentős kiberfenyegetésként vagy besorolás alatt álló bejegyzésként kell osztályozni. Az adatsértési értékelésnek figyelembe kell vennie az érintett PII-t, PII-alanyokat, rendszereket, szolgáltatásokat, adatkezelési tevékenységeket, adatfeldolgozókat, al-adatfeldolgozókat, adattovábbításokat, kockázatokat, ügyfeleket, szerződéses partnereket és javító intézkedéseket. A szabályzat előírja továbbá a bizonyítékok megőrzését, a meghatározott határidőkön belüli elszigetelést, a helyreállítás ellenőrzését, valamint olyan dokumentált lezárási döntéseket, amelyek tartalmazzák az osztályozást, a bejelentési döntést, az elszigetelési státuszt, a helyreállítási státuszt, a maradványkockázatot, a helyesbítő intézkedéseket és a bizonyítóanyagok teljességét. A szabályzat megkülönbözteti az adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói kötelezettségeket. Az adatkezelőknek rögzíteniük kell az adatsértési bejelentési döntéseket, szükség esetén elő kell készíteniük a felügyeleti hatósági bejelentés bizonyítékait, és magas kockázat azonosítása esetén felül kell vizsgálniuk a PII-alanyokkal folytatott kommunikációt. Az adatfeldolgozóknak és al-adatfeldolgozóknak értékelniük kell az ügyfélutasításokat, a szerződéses értesítési kötelezettségeket, a felfelé irányuló értesítési láncokat és a bizonyítékok továbbítására vonatkozó követelményeket, a nyilvántartásokat pedig a REG08-ban és a REG10-ben kell fenntartani. A közös adatkezelői felelősségeket az alkalmazandó külső bejelentési határidők előtt össze kell hangolni és dokumentálni kell. Nagy hatású pénzügyi szektorbeli PII-incidensek és jelentős kiberfenyegetések esetén az incidensreagálási koordinátornak értékelnie kell a pénzügyi szektorbeli szabályozói jelentéstételi kiváltó okokat, és a döntési bizonyítékokat meg kell őriznie a REG10-ben. Az irányítás, a mérés és a fejlesztés beépül a szabályzat életciklusába. Az adatvédelmi vezetőnek / PIMS-vezetőnek a lezárásig legalább hetente felül kell vizsgálnia a nyitott REG10-incidenseket, a felső vezetésnek pedig a besorolást követő 24 órán belül eszkalációt kell kapnia a megerősített nagy hatású pénzügyi szektorbeli incidensekről, súlyos incidensekről vagy jelentős kiberfenyegetésekről. A mutatók magukban foglalják a feltételezett és megerősített incidensek, adatsértések, súlyos pénzügyi szektorbeli incidensek és jelentős kiberfenyegetések havi számát, valamint az adatsértési bejelentés időszerűségét, a pénzügyi szektorbeli jelentéstétel időszerűségét, az elszigetelést, a helyreállítást, a helyreállítás ellenőrzését és a harmadik felek reagálási teljesítményét. A szabályzat ezen túl éves felülvizsgálatot, súlyos eseményeket követő incidens utáni felülvizsgálatot, belső auditi felülvizsgálatot, kivételkezelést, REG12 meg nem feleléseken keresztüli végrehajtást, valamint REG11 szerinti javító képzést ír elő, ha tudatossági vagy kommunikációs hibák fordulnak elő.