Politica de management al incidentelor și încălcărilor privind PII în sectorul financiar

Politica de management al incidentelor și încălcărilor privind PII în sectorul financiar definește cerințe pentru identificarea, raportarea, triajul, clasificarea, evaluarea, conținerea, notificarea, documentarea, închiderea și îmbunătățirea pe baza incidentelor PII și a încălcărilor PII în domeniile de aplicare PIMS din sectorul financiar. Se aplică atunci când organizația acționează ca operator de date, operator asociat, persoană împuternicită sau persoană subîmputernicită într-un context din sectorul financiar și acoperă, de asemenea, sistemele, aplicațiile, serviciile, procesele, furnizorii, persoanele împuternicite, persoanele subîmputernicite și terții care prelucrează, stochează, transmit, susțin, accesează sau afectează în alt mod PII aflate în domeniul de aplicare. Politica este proiectată explicit ca variantă de înlocuire pentru sectorul financiar a PII15 și impune organizațiilor să selecteze fie PII15, fie PII15-FS pentru același domeniu de aplicare, pentru a evita obligații, registre și activități privind dovezile de audit duplicate. Scopul politicii este să asigure că incidentele și încălcările PII sunt gestionate consecvent, prompt, legal, securizat și cu dovezi pregătite pentru audit. REG10 — Registrul incidentelor și încălcărilor PII este stabilit ca obiect principal de dovezi, iar registrele-suport conectează înregistrarea incidentului la modelul mai larg de dovezi PIMS. REG01 este utilizat pentru domeniul de aplicare, părțile interesate, contextul sectorial, al clientului, contractual și de raportare. REG02 corelează activitățile de prelucrare afectate, categoriile PII, categoriile de persoane vizate, scopurile, sistemele și serviciile. REG03 surprinde Declarația de aplicabilitate și actualizările privind aplicabilitatea controalelor, inclusiv înlocuirea PII15 cu PII15-FS. REG04 susține corelarea cu evaluarea riscurilor privind confidențialitatea, DPIA, riscul rezidual și tratamentul, în timp ce REG08, REG09, REG11 și REG12 acoperă interfețele cu terții, transferurile internaționale, instruirea și dovezile de audit sau de acțiune corectivă. Operațional, politica impune ca fiecare incident PII suspectat în sectorul financiar, raportat sau detectat, să fie înregistrat în REG10 în termen de o zi lucrătoare de la primire sau mai devreme atunci când pot fi declanșate termene de notificare, comunicare către client sau raportare. Incidentele trebuie clasificate în termen de 24 de ore de la preluare ca eveniment fără PII, incident PII suspectat, incident PII confirmat, încălcare PII confirmată, incident PII în sectorul financiar, incident major din sectorul financiar, amenințare cibernetică semnificativă sau înregistrare în curs de clasificare. Evaluarea încălcării securității datelor trebuie să ia în considerare PII afectate, persoanele vizate, sistemele, serviciile, activitățile de prelucrare, persoanele împuternicite, persoanele subîmputernicite, transferurile, riscurile, clienții, contrapărțile și acțiunile de remediere. Politica impune, de asemenea, conservarea dovezilor, conținerea în termene definite, validarea recuperării și decizii documentate de închidere care includ clasificarea, decizia de notificare, starea conținerii, starea recuperării, riscul rezidual, acțiunile corective și caracterul complet al dovezilor. Politica distinge obligațiile operatorului de date, ale operatorului asociat, ale persoanei împuternicite și ale persoanei subîmputernicite. Operatorii trebuie să înregistreze deciziile privind notificarea încălcării, să pregătească dovezi de notificare către autoritatea de supraveghere atunci când este necesar și să revizuiască comunicarea către persoana vizată atunci când este identificat un risc ridicat. Persoanele împuternicite și persoanele subîmputernicite trebuie să evalueze instrucțiunile clientului, obligațiile contractuale de notificare, lanțurile de notificare din amonte și cerințele de rutare a dovezilor, cu înregistrări menținute în REG08 și REG10. Responsabilitățile operatorilor asociați trebuie coordonate și documentate înainte de termenele aplicabile pentru notificarea externă. Pentru incidente PII cu impact ridicat în sectorul financiar și amenințări cibernetice semnificative, Coordonatorul răspunsului la incidente trebuie să evalueze declanșatorii de raportare reglementară în sectorul financiar și să păstreze dovezile decizionale în REG10. Guvernanța, măsurarea și îmbunătățirea sunt integrate în ciclul de viață al politicii. Responsabilul pentru confidențialitate / Managerul PIMS trebuie să revizuiască incidentele REG10 deschise cel puțin săptămânal până la închidere, iar conducerea de vârf trebuie să primească escaladare pentru incidente confirmate cu impact ridicat în sectorul financiar, incidente majore sau amenințări cibernetice semnificative în termen de 24 de ore de la clasificare. Metricile includ numărători lunare ale incidentelor suspectate și confirmate, încălcărilor, incidentelor majore din sectorul financiar și amenințărilor cibernetice semnificative, precum și promptitudinea notificării încălcărilor, promptitudinea raportării în sectorul financiar, conținerea, recuperarea, validarea restaurării și performanța răspunsului terților. Politica impune, de asemenea, revizuire anuală, analiză post-incident după evenimente majore, revizuire de audit intern, gestionarea excepțiilor, aplicare prin neconformități REG12 și instruire de remediere prin REG11 atunci când apar eșecuri de conștientizare sau comunicare.