يشهد مشهد التهديدات الأمنية تغيرًا مستمرًا، مما يستلزم تبني سياسات أمنية أكثر شمولًا. في ظل هذا الواقع، وسّعت لجنة التجارة الفيدرالية (FTC) نطاق قاعدة الضمانات الخاصة بها، والتي وُضعت في الأصل للمؤسسات المالية، لتشمل وكالات بيع السيارات. صُممت هذه القاعدة للحفاظ على ضمانات تحمي أمن معلومات العملاء، مما يجعل الشركات أكثر قدرة على الصمود في مواجهة حوادث الأمن السيبراني.
قواعد الضمانات الجديدة للجنة التجارة الفيدرالية
تنطبق قاعدة الضمانات المُعدّلة على جميع معلومات العملاء التي بحوزتك، سواءً كانت متعلقة بأفراد تربطك بهم علاقة عملاء أو بعملاء مؤسسات مالية أخرى زودتك بمعلومات. يُوسّع هذا التغيير نطاق أنواع الشركات المُلزمة الآن باتباع هذه القاعدة، بما في ذلك وكالات السيارات التي لديها أكثر من 5000 سجل عملاء. والأهم من ذلك، أن هذا يشمل جميع السجلات، وليس فقط سجلات المعاملات.
ما هي المتطلبات الجديدة؟
حددت لجنة التجارة الفيدرالية موعدًا نهائيًا في 9 يونيو 2023 لجميع التجار لتلبية المتطلبات التالية إذا كان لديهم أكثر من 5000 سجل عملاء:
- تعيين فرد مؤهل للإشراف على برنامج أمن المعلومات الخاص بك وتنفيذه وتطبيقه.
- إجراء تقييمات المخاطر المتعلقة بأمن المعلومات والضمانات الموجودة.
- تنفيذ الضمانات الإلزامية للسيطرة على المخاطر، بما في ذلك ضوابط الوصول، وجرد الأنظمة، والتشفير، وممارسات التطوير الآمنة، والمصادقة متعددة العوامل (MFA)، وإجراءات التخلص، وإجراءات إدارة التغيير، ومراقبة وتسجيل نشاط المستخدم المصرح به.
- قم باختبار أو تدقيق فعالية الضمانات والضوابط الرئيسية والأنظمة والإجراءات الخاصة بك بشكل منتظم .
- تنفيذ السياسات والإجراءات للموظفين لتنفيذ برنامج أمن المعلومات الخاص بك.
- الإشراف على مقدمي الخدمات للتأكد من امتثالهم لسياسات الأمان الخاصة بك.
- قم بإعداد خطة الاستجابة للحوادث الخاصة بك للاستعداد لحوادث الأمن السيبراني المحتملة.
- إعداد تقرير سنوي لمجلس الإدارة أو الكيان المكافئ، موضحًا فيه جهودك في مجال الأمن السيبراني وأي حوادث قد حدثت خلال العام.
فهم المخاطر
لا توجد صناعة بمنأى عن الهجمات الإلكترونية. فالشركات الصغيرة والمتوسطة والكبيرة على حد سواء معرضة لهجمات التصيد الاحتيالي، وبرامج الفدية، وغيرها من الهجمات الإلكترونية التي تُعرّض المعلومات الشخصية للخطر. وتتراوح عواقب هذه الخروقات بين سرقة الهوية والتلاعب بالوثائق، وإساءة استخدام البيانات.
إذا تعرضت وكالة السيارات الخاصة بك لحادث أمني، فقد تخضع لتدقيق من لجنة التجارة الفيدرالية (FTC) للتحقق من امتثالك. قد يؤدي عدم الامتثال إلى غرامات. علاوة على ذلك، قد تُجري شركة تأمين الأمن السيبراني الخاصة بك تدقيقًا أيضًا. إذا وجدت الشركة أنك لا تلتزم بقاعدة الضمانات الجديدة، فقد لا تغطي تكاليف الحادث.
خطوات الامتثال
مع أن الموعد النهائي في 9 يونيو 2023 قد يبدو بعيدًا، إلا أن الآن هو الوقت المناسب للبدء بتطبيق هذه اللوائح الأمنية المهمة. إليك بعض الخطوات التي يجب مراعاتها:
- ابدأ بتقييم الشبكة الذي يتضمن اختبار الأمان لديك والأحكام الرئيسية الأخرى في قاعدة الضمانات.
- ضع خطةً لا تُطبّق لمرة واحدة. تتطلب قواعد الضمانات إجراء اختبارات وتحديثات وتقديم تقارير دورية إلى مجلس إدارتك أو أي جهة مماثلة.
- تأكد من وجود الشخص المناسب ضمن فريق عملك والمؤهل لوضع وإدارة خطة أمن المعلومات الخاصة بك. إذا لم يكن لديك واحد، فابحث عن شريك مؤهل لتقديم الخدمات التي تحتاجها.
- طبّق خطتك على جميع الأنظمة التي تستخدمها، بما في ذلك أنظمة الموردين الخارجيين. كلما طبّقت هذه اللوائح الأمنية المهمة مبكرًا، زادت أمان وكالتك من التعرض لهجمات الأمن السيبراني ومشاكل عدم الامتثال.
خاتمة
تهدف قاعدة الضمانات الجديدة الصادرة عن لجنة التجارة الفيدرالية (FTC) إلى حماية أمن معلومات العملاء وتعزيز القدرة على مواجهة حوادث الأمن السيبراني. ويشير امتداد القاعدة لتشمل وكالات السيارات إلى الأهمية المتزايدة للأمن السيبراني في جميع القطاعات.
مع اقتراب الموعد النهائي المحدد في 9 يونيو 2023، من الضروري فهم متطلبات قاعدة ضمانات لجنة التجارة الفيدرالية (FTC) واتخاذ الخطوات اللازمة لضمان الامتثال. بذلك، لا تحمي شركتك من حوادث الأمن السيبراني المحتملة ومشاكل الامتثال فحسب، بل تضمن أيضًا ثقة عملائك. إنه وضع مربح للجانبين - تحسين وضع شركتك الأمني مع تحسين تجربة العملاء.
تذكر أن الأمن السيبراني ليس مشروعًا منفردًا، بل رحلة مستمرة. فالبيئة متغيرة باستمرار، والتهديدات في تطور مستمر. لذلك، من الضروري مراجعة خطة أمن المعلومات وتحديثها بانتظام، والبقاء على اطلاع بأحدث اتجاهات الأمن السيبراني وأفضل ممارساته.
ابقَ آمنًا وملتزمًا باللوائح. عملاؤك يعتمدون عليك.