Usted es el coordinador designado de seguridad de la información para Rapido Facil Exchange Co.. En su calidad de BSA/AML Compliance Officer, usted es responsable de proteger toda la información personal no pública de los clientes generada a través de las operaciones de check cashing.
\nRapido Facil Exchange Co. clasifica los datos de los clientes en tres niveles. Los datos restringidos incluyen copias de identificaciones oficiales emitidas por el gobierno, números de Seguro Social, imágenes de cheques, registros de transacciones y papeles de trabajo de SAR y CTR. Los datos restringidos deben almacenarse en forma cifrada. El acceso está limitado a usted y al personal que usted designe. Los datos confidenciales incluyen nombres de clientes, información de contacto, calificaciones de riesgo e historial de cobro de cheques. El acceso está limitado al personal operativo con una necesidad documentada de conocerlos. Los datos internos comprenden los registros generales del negocio y utilizan los controles de acceso estándar para empleados.
\nAsigne el acceso a los sistemas de acuerdo con el puesto y la necesidad operativa de cada empleado. Está prohibido el uso de credenciales compartidas. Revoque el acceso dentro de las 24 horas siguientes a la terminación del empleo o al cambio de puesto.
\nProporcione a cada cliente un aviso de privacidad inicial en su primera transacción. Proporcione un aviso de privacidad anual a todos los clientes a partir de entonces. El aviso debe identificar: las categorías de información personal no pública recopilada; las partes con quienes puede compartirse; y los derechos de exclusión voluntaria aplicables. Atienda las solicitudes de exclusión voluntaria dentro de los 30 días.
\nRevise mensualmente los registros de acceso de todos los sistemas que almacenan datos de clientes o de cumplimiento. Investigue cualquier anomalía. Aplique controles de antivirus, firewall y administración de parches a todos los sistemas que procesen información personal no pública. Aplique los parches de seguridad críticos dentro de las 72 horas posteriores a su publicación.
\nRevise el programa de seguridad de la información anualmente y tras cualquier cambio material en las operaciones o los sistemas.
\nCuando descubra un incidente de seguridad que involucre información personal no pública, evalúe de inmediato el alcance y aísle los sistemas afectados. Involucre al asesor legal dentro de las 24 horas. Si el incidente afecta a 500 o más residentes de Florida, notifique al Departamento de Asuntos Legales de Florida dentro de los 30 días siguientes a la determinación de la violación. Envíe notificación por escrito a las personas afectadas dentro del plazo legal establecido. Documente el incidente, todas las acciones de respuesta y los pasos de remediación. Conserve esa documentación durante cinco años. Si la violación implicó la explotación de cuentas de clientes para facilitar un delito financiero, presente un SAR.
\nAntes de compartir información personal no pública de clientes con cualquier proveedor de servicios, ejecute un acuerdo escrito de seguridad de datos. El acuerdo debe exigir al proveedor que mantenga salvaguardas consistentes con los requisitos federales de seguridad de la información. Los proveedores de servicios incluyen servicios de verificación de cheques, proveedores de tecnología de la información y proveedores de almacenamiento de documentos. No comparta imágenes de cheques con terceros, salvo cuando lo exija la ley o bajo un acuerdo de seguridad de datos que cumpla los requisitos aplicables. Revise los controles de seguridad de los proveedores anualmente y en cada renovación de contrato. Reemplace a los proveedores que no puedan demostrar controles adecuados antes del inicio del siguiente período contractual.
\nCuando venzan los períodos de retención, destruya los registros que contienen información personal no pública de manera que no puedan ser reconstruidos. Triture los documentos en papel mediante corte cruzado. Borre electrónicamente los medios digitales mediante un proceso certificado o destrúyalos físicamente. Registre y verifique cada eliminación.
", "narration_text": "Usted es el coordinador designado de seguridad de la información para Rapido Facil Exchange Co.. En su calidad de BSA/AML Compliance Officer, usted es responsable de proteger toda la información personal no pública de los clientes generada a través de las operaciones de check cashing.\r\n\r\nRapido Facil Exchange Co. clasifica los datos de los clientes en tres niveles. Los datos restringidos incluyen copias de identificaciones oficiales emitidas por el gobierno, números de Seguro Social, imágenes de cheques, registros de transacciones y papeles de trabajo de SAR y CTR. Los datos restringidos deben almacenarse en forma cifrada. El acceso está limitado a usted y al personal que usted designe. Los datos confidenciales incluyen nombres de clientes, información de contacto, calificaciones de riesgo e historial de cobro de cheques. El acceso está limitado al personal operativo con una necesidad documentada de conocerlos. Los datos internos comprenden los registros generales del negocio y utilizan los controles de acceso estándar para empleados.\r\n\r\nAsigne el acceso a los sistemas de acuerdo con el puesto y la necesidad operativa de cada empleado. Está prohibido el uso de credenciales compartidas. Revoque el acceso dentro de las 24 horas siguientes a la terminación del empleo o al cambio de puesto.\r\n\r\nProporcione a cada cliente un aviso de privacidad inicial en su primera transacción. Proporcione un aviso de privacidad anual a todos los clientes a partir de entonces. El aviso debe identificar: las categorías de información personal no pública recopilada; las partes con quienes puede compartirse; y los derechos de exclusión voluntaria aplicables. Atienda las solicitudes de exclusión voluntaria dentro de los 30 días.\r\n\r\nRevise mensualmente los registros de acceso de todos los sistemas que almacenan datos de clientes o de cumplimiento. Investigue cualquier anomalía. Aplique controles de antivirus, firewall y administración de parches a todos los sistemas que procesen información personal no pública. Aplique los parches de seguridad críticos dentro de las 72 horas posteriores a su publicación.\r\n\r\nRevise el programa de seguridad de la información anualmente y tras cualquier cambio material en las operaciones o los sistemas.\r\n\r\nCuando descubra un incidente de seguridad que involucre información personal no pública, evalúe de inmediato el alcance y aísle los sistemas afectados. Involucre al asesor legal dentro de las 24 horas. Si el incidente afecta a 500 o más residentes de Florida, notifique al Departamento de Asuntos Legales de Florida dentro de los 30 días siguientes a la determinación de la violación. Envíe notificación por escrito a las personas afectadas dentro del plazo legal establecido. Documente el incidente, todas las acciones de respuesta y los pasos de remediación. Conserve esa documentación durante cinco años. Si la violación implicó la explotación de cuentas de clientes para facilitar un delito financiero, presente un SAR.\r\n\r\nAntes de compartir información personal no pública de clientes con cualquier proveedor de servicios, ejecute un acuerdo escrito de seguridad de datos. El acuerdo debe exigir al proveedor que mantenga salvaguardas consistentes con los requisitos federales de seguridad de la información. Los proveedores de servicios incluyen servicios de verificación de cheques, proveedores de tecnología de la información y proveedores de almacenamiento de documentos. No comparta imágenes de cheques con terceros, salvo cuando lo exija la ley o bajo un acuerdo de seguridad de datos que cumpla los requisitos aplicables. Revise los controles de seguridad de los proveedores anualmente y en cada renovación de contrato. Reemplace a los proveedores que no puedan demostrar controles adecuados antes del inicio del siguiente período contractual.\r\n\r\nCuando venzan los períodos de retención, destruya los registros que contienen información personal no pública de manera que no puedan ser reconstruidos. Triture los documentos en papel mediante corte cruzado. Borre electrónicamente los medios digitales mediante un proceso certificado o destrúyalos físicamente. Registre y verifique cada eliminación." }