保护客户信息

办公室负责:粮农组织

地点:学生目录和网站

文件上次审核/更新:2018年7月1日

政策和程序上次审核/更新:2018年7月1日

保护客户信息


一世。目的。

为了继续保护私人信息和数据并遵守联邦贸易委员会保障规则的规定,落实格拉米拉德法(GLBA)的适用规定(GLBA),该大学已采用此信息安全计划,以实现一定的非常重要和私人财务和相关信息。本安全计划适用于客户财务信息(涵盖数据)大学根据GLBA的要求以及大学被自愿选择作为政策内容的其他机密财务信息,以便包括在其范围内。本文件描述了大学目前承担的许多活动,并将根据法律和大学要求进行保留的数据。此信息安全计划文档旨在提供适用于此信息的保障措施的概要,具体符合GLBA。本文件中规定的实践将由大学的各种地区进行和影响各种地区。


II。定义

顾客 意味着任何收到学校的财务服务的人。客户可能包括学生,父母,配偶,教师,员工和第三方。

非公开个人信息 在提供金融产品或服务的过程中意味着任何个人可识别的财务或其他个人;通过另一个金融机构向学校提供的这些信息;这些信息另外通过学校获得与提供金融产品或服务;或者使用未公开可用的任何信息派生的客户的任何列表,描述或与其有关的可公开提供的信息)。个人可识别的财务信息的示例包括纸质和电子形式的姓名,地址,电话号码,银行和信用卡账号,收入和信用历史,纳税申报表,资产陈述和社会安全号码。

金融产品或服务 包括学生贷款,员工贷款,与延长信贷,财务和投资咨询活动,管理咨询和咨询活动,社区发展活动以及其他杂项金融服务,如12CFR§225.28。

涵盖数据和信息 出于本计划的目的,包括在GLBA下受保护所需客户的非公共个人信息。除了这一必要的覆盖范围之外,大学还选择了一个政策问题,也可以定义涵盖的数据和信息,包括任何银行和信用卡账户号,收入和信用信息,纳税申报表,资产陈述和收到的社会安全号码学校的业务课程,无论是GLBA是否涵盖此类财务信息。涵盖的数据和信息包括纸张和电子记录。

III。安全计划组件

GLBA要求学校制定,实施,维护综合信息安全计划,其中包含基于大学规模,复杂性和活动性质的适当的行政,技术和物理保障。此信息安全程序有五个组件:

(1)指定负责协调该计划的员工或办公室;

(2)大学从客户风险评估中取得了不可用的信息,无法公开提供信息,以确定合理可预见的安全和隐私风险;

(3)确保采用保护措施来控制所识别的风险,并定期检测和监测这些保障措施的有效性;

(4)监督服务提供商;

(5)基于测试和监控的结果以及运营或操作系统的变化,维护和调整本信息安全计划。

保护客户信息

该计划旨在设定开发,实施和维护合理的行政,技术和物理保障的标准,以保护客户信息的安全,机密性和完整性。

用途:

  •  确保客户信息的安全和机密性;
  • 防止预期威胁客户信息的安全和/或完整;
  • 防范未经授权的访问或使用可能导致对任何客户造成伤害或不便的客户信息;和
  • 符合“联邦贸易委员会”提出的格拉姆 - 隐形法案和相关规则。

Policy for Maintaining the Security, Confidentiality & Integrity of 顾客 信息

控制对房间和文件柜的访问权限。

  • 在非工作时间内将锁定办公区。
  • 客户信息将在锁定门后面或其他领域的工作区域处理,不定期访问公众。
  • 客人可以在处理客户信息的区域陪同,并限于客户信息不在平面视野中的区域。
  • 用于存储客户信息的文件柜在锁定区域或通用公众不定期访问的区域中。
  • 用于存储原因说明的机柜在非工作时间内被锁定。
  • 不再需要的文件在指定的回收容器中处理或在现场切碎。
  • 监禁和维护人员受过培训,以确保安全区域仍然锁定,保密信息保障。
  • 在学生目录中发布,应遵循构建安全指南

控制对电子存储的信息的访问。

  • 访问客户信息的计算机工作站将被搁置在锁定的门后面或在输出设备(屏幕,打印机等)无法被公众看到的区域。
  • 在不使用时,将最小化显示客户信息的计算机屏幕以防止无意中的马裤。
  • 使用强密码。
  • 网络和电子邮件访问(至少八个字符,字母数字,特殊字符)
  • 大型机访问(至少八个字符,字母数字)
  • 计算机密码需要每120天更换一次。
  • 用户ID,密码和引脚不得在计算机附近或上发布。

保护客户的信息。

  • 客户信息请求将根据Ferpa.指南作出回应。
  • 将制定并遵循适当的安全策略,以确保保护客户信息。
  • 欺诈性尝试获取客户信息将被报告给管理层,然后将谁报告对适当的执法机构的尝试。

定义

顾客  - 学校的学校,学校学生的父母,或学校雇用的教师或工作人员。

客户信息 - 包含有关学校客户的非公开个人信息的任何记录,无论是纸张,电子或其他形式,由Buckner Barber学校处理或维护

信息安全计划  - Buckner Barber学校的行政,技术或物理保障学校用于访问,收集,分发,处理,保护,存储,使用,传输,处理或以其他方式处理客户信息。

服务提供者  - 通过提供服务,任何接收,维护,流程或其他方式获得Buckner Barber学校的客户信息的人或实体。
虽然该计划旨在促进信息的安全,但它不会创建任何消费者,客户或其他第三方权利或补救办法,或建立或增加任何不适用的护理标准。