在跟供应商的合同中,金融企业应该添加一些关于额外的、数据泄露的保护措施。除了要求对数据泄露事件进行通告和报告之外,合同还应要求供应商在调查和补救类似的事件中积极配合。这样做很重要,因为数据泄露通告方面的法律法规和银行监管要求已经很明确的说明最终责任由金融机构承担。最后,金融机构必须自己测定出在供应商泄露事件中究竟发生了什么和给客户带来的损失风险,以及应该怎样做出反应。
虽然能通过合同来规定供应商通告受到影响的个人,但是如果供应商发的通告不适用法律或者监管指导意见所要求的,那么金融机构最终要负责任。 因此,合同应该限制供应商(在适用法律允许的范围之内),避免供货商在金融机构不知情和没有允许的情……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在跟供应商的合同中,金融企业应该添加一些关于额外的、数据泄露的保护措施。除了要求对数据泄露事件进行通告和报告之外,合同还应要求供应商在调查和补救类似的事件中积极配合。这样做很重要,因为数据泄露通告方面的法律法规和银行监管要求已经很明确的说明最终责任由金融机构承担。最后,金融机构必须自己测定出在供应商泄露事件中究竟发生了什么和给客户带来的损失风险,以及应该怎样做出反应。虽然能通过合同来规定供应商通告受到影响的个人,但是如果供应商发的通告不适用法律或者监管指导意见所要求的,那么金融机构最终要负责任。
因此,合同应该限制供应商(在适用法律允许的范围之内),避免供货商在金融机构不知情和没有允许的情况下给金融机构的客户派发数据泄露通知。是否派发数据泄露通知,通知中任何涉及机构名誉、客户关系和财政考虑以及法律和监管方面的内容,还有任何的风险评估和决策都必须遵守监管结构规定的金融机构必须遵从的突发事件应急预案。
金融机构应该咨询他们的律师,了解一些合同保护措施以便转移供货商数据泄漏引起的损失,尽管监管指导意见、PCI DSS或者法律法规并没有要求这样做。即使不算任何的第三方债务或者法律和监管机构的惩罚,数据泄漏带来的直接损失就能达到几百万美元。这些损失包括法律调查以确定什么数据以及谁的数据受到了威胁、关闭和重新发行帐户以及替换支付卡片、州立数据泄漏法律法规的检查以确定规则遵从义务、派发数据泄漏通知、还有,理所当然,身份遗失带来的欺诈损失等等各种成本。
金融机构应该在合同中规定如果在供应商那里发生敏感数据被非法访问或者使用的事情,还有如果供应商违反了适用法律或者合同中规定的机密和安全义务,那么供应商必须进行赔偿,确保金融机构不受损失。很明显,如果供应商没有足够的资金来满足赔偿要求,那么这样的赔偿条款是毫无意义的。这也是为什么联邦监管指导意见推荐额外的风险缓解措施,比如签订合同之前和合同执行期间对供应商的资金状况进行审查,以及要求供货商必须有适当的保险等。
供应商无疑将试图减少自己的责任(比如通过限制赔偿责任以及/或者通过法律习惯语言声明供货商不应该对丢失的数据负责等等),所以一定要小心谨慎的对这些条款展开谈判。至少,供应商应该赔偿与数据泄漏有关的成本和损失,以及由于供应商的疏忽或者其他的不当行为引起的损失,比如违反合同或者违反适用法律或者监管责任等。
翻译
相关推荐
-
隐藏Word功能可能导致系统信息泄露
研究人员发现一个隐藏的微软Word功能,该功能可能被攻击者滥用以获取受害者的系统信息。
-
Delta航空公司Deborah Wheeler:从数据泄漏事故中学习经验
从Word到航空公司:Deborah Wheeler在2月份接受了新的挑战,担任Delta航空公司首席信息安全官。新工作状态如何?旅游业
-
隐私vs.安全:该如何平衡?
中国的《网络安全法》已于今年6月1日正式开始实行,这给现代企业在维护信息隐私和安全性方面带来更多的挑战,也将对如何平衡隐私和安全性的探讨推上风口浪尖。
-
Project Zero发现Cloudflare漏洞:已致百万客户数据泄露
谷歌的Project Zero发现一个严重Cloudflare漏洞,该漏洞可能已经导致Cloudflare内容交付网络托管的数百万网站的客户数据泄露。