《格雷姆-里奇-比利雷法案》（GLBA）

《格雷姆-里奇-比利雷法案》（GLBA）——也称为 1999 年《金融服务现代化法案》——要求金融机构向客户解释其信息共享做法并保护敏感数据。其核心目的是预防和缓解网络威胁。联邦贸易委员会 (FTC) 保障规则要求受监管公司制定、实施和维护信息安全计划，其中包括旨在保护客户信息的行政、技术和物理保障措施。

GLBA 由三项主要规则组成，涉及金融机构持有的敏感消费者数据的隐私和保护：

• 金融隐私规则涵盖金融机构获取的大多数个人信息（姓名、出生日期、社会保险号）和交易数据（卡号或银行账号）的收集和披露。

• 保障规则旨在确保金融机构收集的信息的安全。它包括保护敏感数据的具体技术要求，包括静态数据或传输数据的加密以及访问管理和身份验证。

• 借口规则旨在防止员工或业务合作伙伴以虚假借口（例如采用社会工程技术）收集客户信息。

哪些公司受GLBA约束？

《GLBA》适用于被归类为金融机构的广泛公司。FTC 解释称，《GLBA》适用于“所有‘大量从事’提供金融产品或服务的企业，无论规模大小”。这不仅包括提供贷款、财务咨询或保险等金融产品或服务的公司，还包括提供评估、经纪和贷款服务、支票兑现、发薪日贷款、快递服务、非银行贷款和税务筹划服务等的公司。

GLBA何时生效？

《格雷姆-里奇-比利雷法案》于 1999 年由国会颁布，目前已全面生效。主要由联邦贸易委员会执行该法规，但其他联邦机构（如联邦储备委员会和联邦存款保险公司）和州政府也负责监管保险提供商。

不遵守GLBA的处罚是什么？

违反《GLBA》的金融机构每次违规可能面临 10 万美元罚款。其高管和董事每次违规最高可被罚款 1 万美元，并可能被处以五年监禁，或两者并罚。

我们如何帮助满足 GLBA 合规要求

Thales的解决方案可简化合规性并实现安全自动化，从而帮助金融机构遵守 GLBA，减轻安全和合规团队的负担。我们帮助满足 GLBA 第 314 部分中保护客户信息的基本要求，该部分规定开发、实施和维护信息安全计划，并采用旨在保护客户信息的管理、技术和物理保障措施。

我们在网络安全的三个关键领域提供全面的网络安全解决方案：应用程序安全、数据安全以及身份和访问管理。

• 应用程序安全

  在云端、本地或混合模式下大规模保护应用程序和 API。我们市场领先的产品套件包括 Web 应用程序防火墙 (WAF)、针对分布式拒绝服务 (DDoS) 和恶意 BOT 攻击的保护、API 安全、安全的内容分发网络 (CDN) 和运行时应用程序自我保护 (RASP)。

  
  

• 数据安全

  使用加密、令牌化和密钥管理，发现和分类混合 IT 中的敏感数据，并在任何地方自动保护这些数据，无论是静态、动态还是使用中。Thales解决方案还可以识别、评估和确定潜在风险的优先级，以进行准确的风险评估，以及识别异常行为，并监控活动以验证合规性，从而使组织能够确定将精力投入到哪些方面的优先顺序。

  
  

• 身份和访问管理

  为客户、员工和合作伙伴提供无缝、安全且值得信赖的应用程序和数字服务访问。我们的解决方案根据内部和外部用户的角色和环境限制其访问权限，并采用精细的访问策略和多重身份验证，帮助确保在正确的时间向正确的用户授予对正确资源的访问权限。

满足GLBA 第314部分的关键要求

第 314. b 部分 | 风险评估

• Thales 如何提供帮助：

• 发现并分类所有公共、私有和影子 API 的潜在风险。

• 识别混合 IT 中存在风险的结构化和非结构化敏感数据。

• 确定当前的合规性状态并记录差距。

• 解决方案：

• 应用程序安全

• API 安全

• 数据安全

• 数据发现和分类

• 数据风险分析

• 漏洞管理

第 314. c.1 部分 | 实施访问控制

• Thales 如何提供帮助：

• 根据角色和上下文使用策略限制对系统和数据的访问。

• 根据风险评分应用上下文安全措施。

• 在单一管理平台中集中访问策略和对多个混合环境的执行。

• 解决方案：

• 身份和访问管理

• 员工访问管理

• 数据安全

• 透明加密

• 数据风险分析

第 314. c.3 部分 | 加密传输中和静止的数据

• Thales 如何提供帮助：

• 在本地、跨云以及大数据或容器环境中加密静止数据。

• 在 FIPS 140-2 Level 3 环境中保护加密密钥。

• 对数据库中的敏感信息进行假名化。

• 使用高速加密保护动态数据。

• 利用机密计算保护使用中的数据。

• 获得完整的敏感数据活动可见性，跟踪谁有访问权限，审计他们正在做什么并记录。

• 专为后量子升级而设计的安全产品，以保持加密敏捷性。

• 解决方案：

• 数据安全

• 透明加密

• Tokenization（令牌化/标记化/数据脱敏）

• 密钥管理

• 机密管理

• HSM（硬件安全模块/加密机）

• 高速加密

• 数据活动监控

• 数据治理

第 314. c.4 部分 | 安全的应用程序开发实践

• Thales 如何提供帮助：

• 保护应用程序免受运行时攻击，同时与 CI/CD 管道中的工具集成。

• 使用 Web 应用程序防火墙检测和预防网络威胁，确保无缝操作和安心。

• 保护关键网络资产免受 DDoS 攻击和坏机器人的攻击，同时继续允许合法流量。

• 在混合和多云应用程序中部署数据保护控制以保护 DevSecOps。

• 保护和自动化跨 DevOps 工具对机密的访问。

• 通过在线市场轻松访问数据安全解决方案。

• 解决方案：

• 应用程序安全

• 运行时保护

• Web 应用程序防火墙

• DDoS 保护

• 机器人保护

• API 保护

• 数据安全

• 社区版

• 机密管理

• DPOD 市场

第 314. c.5 部分 | 多因素身份验证

• Thales 如何提供帮助：

• 使用最广泛的硬件和软件方法启用多因素身份验证 (MFA)。

• 根据数据/应用程序的敏感度构建和部署自适应身份验证策略。

• 防范网络钓鱼和中间人攻击。

• 解决方案：

• 身份和访问管理

• 多因素身份验证

• 基于风险的身份验证

• PKI 和 FIDO 身份验证器

第 314 c.6 部分 | 安全处置客户信息

• Thales 如何提供帮助：

• 在混合 IT 中查找结构化和非结构化受监管数据并确定补救优先级。

• 从 CipherTrust Manager 中删除密钥可以确保安全删除，以数字方式粉碎数据的所有实例。

• 解决方案：

• 数据安全

• 数据发现和分类

• 透明加密

第 314. c.8 部分 | 维护授权用户活动的日志

• Thales 如何提供帮助：

• 跨云和本地系统的结构化和非结构化数据的数据活动监控。

• 生成所有系统的所有访问事件的审计跟踪和报告，将日志流式传输到外部 SIEM 系统。

• 解决方案：

• 数据安全

• 数据活动监控

• 身份和访问管理

• 员工访问管理

第 314. f.2 部分 | 监督服务提供商

• Thales如何提供帮助：

• 通过维护对加密密钥的本地控制来降低第三方风险，保护云中托管的数据。

• 确保云提供商管理员和您的组织之间的角色完全分离，限制对敏感数据的访问。

• 监控和警报异常以检测和防止不必要的活动破坏供应链活动。

• 实现与供应商、合作伙伴或任何第三方用户的关系管理；明确授权访问权限。

• 通过使用基于关系的细粒度授权来最小化权限。

• 解决方案：

• 数据安全

• 云密钥管理

• 透明加密

• 数据活动监控

• 用户权限管理

• 发现和分类

• 身份和访问管理

• 第三方访问控制

• 委托用户管理

• 外部化授权

作为Thales的合作伙伴，揽阁信息与您一同解决合规性要求的各类问题，欢迎联系揽阁信息获取更多信息。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• Thales在Frost Radar™数据安全平台报告中被评为增长指数领导者
• 2026年密钥安全的新挑战和应对
• 泰国：在金融服务业合规方面应对前所未有的数字化增长
• 人工智能是新的内部威胁：重新思考数字时代的企业安全
• 哪些国家和地区的合规性可以使用Luna HSM进行满足？
• 审计加密资产清单的首要原因