Usted funge como coordinador designado de seguridad de la información para Advanced Compliance Technology, Inc.. En su calidad de BSA/AML Compliance Officer, usted es responsable de proteger toda la información personal no pública de los clientes generada a través de las operaciones de check cashing, money transmission, payment instrument sales, foreign currency exchange.
\nAdvanced Compliance Technology, Inc. clasifica los datos de los clientes en tres niveles. Los datos restringidos incluyen copias de identificaciones oficiales emitidas por el gobierno, números de Seguro Social, imágenes de cheques, registros de transacciones y papeles de trabajo de SAR y CTR. Los datos restringidos deben almacenarse en forma cifrada. El acceso a los datos restringidos está limitado a usted y al personal que usted designe. Los datos confidenciales incluyen nombres de clientes, información de contacto, calificaciones de riesgo e historial de cobro de cheques. El acceso a los datos confidenciales está limitado al personal operativo con una necesidad documentada de conocerlos. Los datos internos comprenden los registros generales del negocio; a ellos se aplican los controles de acceso estándar para empleados.
\nUsted asigna el acceso a los sistemas de acuerdo con el puesto y la necesidad operativa de cada empleado. Está prohibido el uso de credenciales compartidas. Usted debe revocar el acceso dentro de las 24 horas siguientes a la terminación del empleo o al cambio de puesto. La revocación oportuna impide que exempleados accedan a registros confidenciales de clientes y de cumplimiento.
\nUsted proporciona a cada cliente un aviso de privacidad inicial en el momento de su primera transacción. Posteriormente, proporciona un aviso de privacidad anual a todos los clientes. El aviso debe identificar: las categorías de información personal no pública recopilada; las partes con quienes puede compartirse; y los derechos de exclusión voluntaria aplicables. Usted atiende las solicitudes de exclusión voluntaria dentro de los 30 días. El procesamiento oportuno preserva los derechos legales de los clientes conforme a la legislación federal de privacidad.
\nUsted revisa mensualmente los registros de acceso de todos los sistemas que almacenan datos de clientes o de cumplimiento. Investiga cualquier anomalía. Los controles de antivirus, firewall y administración de parches deben aplicarse a todos los sistemas que procesen información personal no pública. Los parches de seguridad críticos deben aplicarse dentro de las 72 horas posteriores a su publicación. La revisión periódica de los registros detecta accesos no autorizados antes de que escalen a una violación de seguridad que deba reportarse.
\nUsted revisa el programa de seguridad de la información anualmente. También lo revisa tras cualquier cambio material en las operaciones o los sistemas. La revisión anual garantiza que los controles permanezcan efectivos conforme cambian las condiciones del negocio.
\nAl descubrir un incidente de seguridad que involucre información personal no pública, usted evalúa de inmediato el alcance y aísla los sistemas afectados. Involucra al asesor legal dentro de las 24 horas para evaluar las obligaciones de notificación. Un incidente que afecte a 500 o más residentes de Florida requiere notificación al Departamento de Asuntos Legales de Florida. Usted debe completar dicha notificación dentro de los 30 días siguientes a la determinación de la violación. Las personas afectadas reciben notificación por escrito dentro del plazo legal establecido. Usted documenta el incidente, todas las acciones de respuesta y los pasos de remediación. Conserva esa documentación durante cinco años. Si la violación implicó la explotación de cuentas de clientes para facilitar un delito financiero, usted presenta un SAR. Una respuesta estructurada a la violación limita la exposición legal y satisface los requisitos regulatorios de notificación.
\nAntes de compartir información personal no pública de clientes con cualquier proveedor de servicios, usted ejecuta un acuerdo escrito de seguridad de datos. El acuerdo debe exigir al proveedor que mantenga salvaguardas consistentes con los requisitos federales de seguridad de la información. Los proveedores de servicios incluyen servicios de verificación de cheques, proveedores de tecnología de la información y proveedores de almacenamiento de documentos. Las imágenes de cheques no se comparten con terceros, salvo cuando lo exija la ley o bajo un acuerdo de seguridad de datos que cumpla los requisitos aplicables. Usted revisa los controles de seguridad de los proveedores anualmente y en cada renovación de contrato. Reemplaza a los proveedores que no puedan demostrar controles adecuados antes del inicio del siguiente período contractual. La supervisión de proveedores impide que las deficiencias de terceros socaven las obligaciones de seguridad de Advanced Compliance Technology, Inc..
\nAl vencimiento del período de retención, usted destruye los registros que contienen información personal no pública de manera que impida su reconstrucción. Los documentos en papel se destruyen mediante trituración de corte cruzado. Los medios digitales se borran electrónicamente mediante un proceso certificado o se destruyen físicamente. Usted registra y verifica cada eliminación. La destrucción documentada crea un registro auditable que acredita que los registros no fueron retenidos ni divulgados de manera indebida.
", "narration_text": "Usted funge como coordinador designado de seguridad de la información para Advanced Compliance Technology, Inc.. En su calidad de BSA/AML Compliance Officer, usted es responsable de proteger toda la información personal no pública de los clientes generada a través de las operaciones de check cashing, money transmission, payment instrument sales, foreign currency exchange.\r\n\r\nAdvanced Compliance Technology, Inc. clasifica los datos de los clientes en tres niveles. Los datos restringidos incluyen copias de identificaciones oficiales emitidas por el gobierno, números de Seguro Social, imágenes de cheques, registros de transacciones y papeles de trabajo de SAR y CTR. Los datos restringidos deben almacenarse en forma cifrada. El acceso a los datos restringidos está limitado a usted y al personal que usted designe. Los datos confidenciales incluyen nombres de clientes, información de contacto, calificaciones de riesgo e historial de cobro de cheques. El acceso a los datos confidenciales está limitado al personal operativo con una necesidad documentada de conocerlos. Los datos internos comprenden los registros generales del negocio; a ellos se aplican los controles de acceso estándar para empleados.\r\n\r\nUsted asigna el acceso a los sistemas de acuerdo con el puesto y la necesidad operativa de cada empleado. Está prohibido el uso de credenciales compartidas. Usted debe revocar el acceso dentro de las 24 horas siguientes a la terminación del empleo o al cambio de puesto. La revocación oportuna impide que exempleados accedan a registros confidenciales de clientes y de cumplimiento.\r\n\r\nUsted proporciona a cada cliente un aviso de privacidad inicial en el momento de su primera transacción. Posteriormente, proporciona un aviso de privacidad anual a todos los clientes. El aviso debe identificar: las categorías de información personal no pública recopilada; las partes con quienes puede compartirse; y los derechos de exclusión voluntaria aplicables. Usted atiende las solicitudes de exclusión voluntaria dentro de los 30 días. El procesamiento oportuno preserva los derechos legales de los clientes conforme a la legislación federal de privacidad.\r\n\r\nUsted revisa mensualmente los registros de acceso de todos los sistemas que almacenan datos de clientes o de cumplimiento. Investiga cualquier anomalía. Los controles de antivirus, firewall y administración de parches deben aplicarse a todos los sistemas que procesen información personal no pública. Los parches de seguridad críticos deben aplicarse dentro de las 72 horas posteriores a su publicación. La revisión periódica de los registros detecta accesos no autorizados antes de que escalen a una violación de seguridad que deba reportarse.\r\n\r\nUsted revisa el programa de seguridad de la información anualmente. También lo revisa tras cualquier cambio material en las operaciones o los sistemas. La revisión anual garantiza que los controles permanezcan efectivos conforme cambian las condiciones del negocio.\r\n\r\nAl descubrir un incidente de seguridad que involucre información personal no pública, usted evalúa de inmediato el alcance y aísla los sistemas afectados. Involucra al asesor legal dentro de las 24 horas para evaluar las obligaciones de notificación. Un incidente que afecte a 500 o más residentes de Florida requiere notificación al Departamento de Asuntos Legales de Florida. Usted debe completar dicha notificación dentro de los 30 días siguientes a la determinación de la violación. Las personas afectadas reciben notificación por escrito dentro del plazo legal establecido. Usted documenta el incidente, todas las acciones de respuesta y los pasos de remediación. Conserva esa documentación durante cinco años. Si la violación implicó la explotación de cuentas de clientes para facilitar un delito financiero, usted presenta un SAR. Una respuesta estructurada a la violación limita la exposición legal y satisface los requisitos regulatorios de notificación.\r\n\r\nAntes de compartir información personal no pública de clientes con cualquier proveedor de servicios, usted ejecuta un acuerdo escrito de seguridad de datos. El acuerdo debe exigir al proveedor que mantenga salvaguardas consistentes con los requisitos federales de seguridad de la información. Los proveedores de servicios incluyen servicios de verificación de cheques, proveedores de tecnología de la información y proveedores de almacenamiento de documentos. Las imágenes de cheques no se comparten con terceros, salvo cuando lo exija la ley o bajo un acuerdo de seguridad de datos que cumpla los requisitos aplicables. Usted revisa los controles de seguridad de los proveedores anualmente y en cada renovación de contrato. Reemplaza a los proveedores que no puedan demostrar controles adecuados antes del inicio del siguiente período contractual. La supervisión de proveedores impide que las deficiencias de terceros socaven las obligaciones de seguridad de Advanced Compliance Technology, Inc..\r\n\r\nAl vencimiento del período de retención, usted destruye los registros que contienen información personal no pública de manera que impida su reconstrucción. Los documentos en papel se destruyen mediante trituración de corte cruzado. Los medios digitales se borran electrónicamente mediante un proceso certificado o se destruyen físicamente. Usted registra y verifica cada eliminación. La destrucción documentada crea un registro auditable que acredita que los registros no fueron retenidos ni divulgados de manera indebida." }