Polityka zarządzania incydentami PII i naruszeniami ochrony PII w sektorze finansowym

Polityka zarządzania incydentami PII i naruszeniami ochrony PII w sektorze finansowym określa wymagania dotyczące identyfikowania, zgłaszania, triage'u, klasyfikowania, oceniania, powstrzymywania, powiadamiania, dokumentowania, zamykania i doskonalenia w następstwie incydentów PII oraz naruszeń ochrony PII w zakresach PIMS sektora finansowego. Ma zastosowanie, gdy organizacja działa jako administrator PII, współadministrator, podmiot przetwarzający lub podwykonawca przetwarzania w kontekście sektora finansowego, a także obejmuje systemy, aplikacje, usługi, procesy, dostawców, podmioty przetwarzające, podwykonawców przetwarzania i strony trzecie, które przetwarzają, przechowują, przesyłają, wspierają, uzyskują dostęp do PII lub w inny sposób wpływają na PII w zakresie. Polityka jest wyraźnie zaprojektowana jako wariant zastępujący PII15 dla sektora finansowego i wymaga od organizacji wyboru PII15 albo PII15-FS dla tego samego zakresu, aby uniknąć zdublowanych obowiązków, rejestrów i prac związanych z dowodami z audytu. Celem polityki jest zapewnienie, aby incydenty PII i naruszenia ochrony PII były obsługiwane spójnie, terminowo, zgodnie z prawem, bezpiecznie oraz z dowodami zapewniającymi gotowość do audytu. REG10 — Rejestr incydentów PII i naruszeń ochrony PII ustanawia się jako podstawowy obiekt dowodowy, a rejestry wspierające łączą zapis incydentu z szerszym modelem dowodowym PIMS. REG01 jest wykorzystywany do kontekstu zakresu, stron zainteresowanych, sektora, klienta, wymogów umownych i zgłaszania. REG02 łączy objęte incydentem czynności przetwarzania, kategorie PII, kategorie osób, których dane dotyczą, cele, systemy i usługi. REG03 ujmuje aktualizacje Deklaracji stosowania i stosowalności zabezpieczeń, w tym zastąpienie PII15 przez PII15-FS. REG04 wspiera powiązania z oceną ryzyka dla prywatności, DPIA, ryzykiem rezydualnym i postępowaniem z ryzykiem, natomiast REG08, REG09, REG11 i REG12 obejmują interfejsy stron trzecich, transfery międzynarodowe, szkolenia oraz dowody z audytu lub działań korygujących. Operacyjnie polityka wymaga, aby każdy zgłoszony lub wykryty podejrzewany incydent PII w sektorze finansowym został zapisany w REG10 w ciągu jednego dnia roboczego od otrzymania albo wcześniej, jeżeli mogą zostać uruchomione terminy powiadomienia, terminy dotyczące klienta lub terminy zgłaszania. Incydenty muszą zostać sklasyfikowane w ciągu 24 godzin od przyjęcia jako zdarzenie niedotyczące PII, podejrzewany incydent PII, potwierdzony incydent PII, potwierdzone naruszenie ochrony PII, incydent PII w sektorze finansowym, poważny incydent w sektorze finansowym, znaczące cyberzagrożenie albo wpis oczekujący na klasyfikację. Ocena naruszenia musi uwzględniać objęte incydentem PII, osoby, których dane dotyczą, systemy, usługi, czynności przetwarzania, podmioty przetwarzające, podwykonawców przetwarzania, transfery, ryzyka, klientów, kontrahentów i działania naprawcze. Polityka wymaga również zabezpieczenia dowodów, powstrzymania w określonych ramach czasowych, walidacji odzyskiwania oraz udokumentowanych decyzji o zamknięciu, które obejmują klasyfikację, decyzję o powiadomieniu, status powstrzymania, status odzyskiwania, ryzyko rezydualne, działania korygujące i kompletność dowodów. Polityka rozróżnia obowiązki administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania. Administratorzy muszą zapisywać decyzje dotyczące zgłoszenia naruszenia, przygotowywać dowody zgłoszenia do organu nadzorczego, gdy jest to wymagane, oraz weryfikować komunikację z osobą, której dane dotyczą, gdy zidentyfikowano wysokie ryzyko. Podmioty przetwarzające i podwykonawcy przetwarzania muszą oceniać polecenia klienta, umowne obowiązki powiadamiania, łańcuchy powiadomień w górę oraz wymagania dotyczące kierowania dowodów, z zapisami utrzymywanymi w REG08 i REG10. Zakresy odpowiedzialności współadministratorów muszą być skoordynowane i udokumentowane przed mającymi zastosowanie terminami powiadomień zewnętrznych. W przypadku incydentów PII w sektorze finansowym o istotnym wpływie oraz znaczących cyberzagrożeń koordynator reagowania na incydenty musi ocenić przesłanki zgłaszania regulacyjnego w sektorze finansowym i zachować dowody decyzji w REG10. Ład zarządczy, pomiar i doskonalenie są wbudowane w cykl życia polityki. Osoba odpowiedzialna za prywatność / menedżer PIMS musi przeglądać otwarte incydenty REG10 co najmniej raz w tygodniu aż do zamknięcia, a najwyższe kierownictwo musi otrzymać eskalację dotyczącą potwierdzonych incydentów w sektorze finansowym o istotnym wpływie, poważnych incydentów lub znaczących cyberzagrożeń w ciągu 24 godzin od klasyfikacji. Metryki obejmują miesięczne liczby podejrzewanych i potwierdzonych incydentów, naruszeń, poważnych incydentów w sektorze finansowym i znaczących cyberzagrożeń, a także terminowość zgłoszenia naruszenia, terminowość zgłaszania w sektorze finansowym, powstrzymanie, odzyskiwanie, walidację odtworzenia oraz skuteczność reakcji stron trzecich. Polityka wymaga ponadto corocznego przeglądu, przeglądu po incydencie po poważnych zdarzeniach, przeglądu audytu wewnętrznego, zarządzania wyjątkami, egzekwowania poprzez niezgodności REG12 oraz szkoleń korygujących przez REG11, gdy wystąpią braki w świadomości lub komunikacji.