¿Qué es la FTC Safeguards Rule?

Antecedentes y actualización de 2023

La Safeguards Rule existe desde 2003, pero la FTC la revisó a fondo en 2021 y la mayor parte de los nuevos requisitos entró en vigor en junio de 2023. La actualización vino motivada por años de brechas que afectaron a concesionarios de automóviles, brokers hipotecarios, prestamistas de día de pago y otros negocios financieros no bancarios que estaban sujetos a la norma pero hacían poco al respecto.

La norma original era de principios y vaga. La versión de 2023 es prescriptiva, con requisitos técnicos y administrativos concretos que ahora son exigibles uno a uno.

A quién aplica

La Safeguards Rule se aplica a las «instituciones financieras» bajo la jurisdicción de la FTC. Eso excluye a los bancos, cooperativas de crédito y entidades de ahorro (que están cubiertos por sus propios reguladores bancarios), pero incluye a una amplia variedad de negocios no bancarios que realizan actividades financieras:

• Concesionarios de automóviles (cuando organizan financiación)
• Brokers y prestamistas hipotecarios
• Prestamistas de día de pago y compañías de financiación al consumo
• Asesores fiscales y preparadores de impuestos
• Servicios de cobro de cheques
• Servicios de transferencia de dinero
• Asesores de inversión no registrados en la SEC
• Tasadores inmobiliarios
• Agencias de cobro
• Asesores profesionales que ofrecen servicios financieros

El detonante es realizar actividad financiera para un consumidor, no el tamaño del negocio. Un broker hipotecario pequeño está cubierto igual que uno nacional.

Los elementos requeridos

Los negocios cubiertos deben desarrollar, implementar y mantener un programa escrito de seguridad de la información. La norma de 2023 especifica nueve elementos que el programa debe incluir:

1. Persona Cualificada

El negocio debe designar a una persona cualificada responsable de supervisar el programa de seguridad. No tiene que ser un empleado a tiempo completo, pero debe tener la experiencia adecuada. Reporta al consejo o a la alta dirección al menos una vez al año.

2. Evaluación de Riesgo

Una evaluación de riesgo escrita que identifique los riesgos previsibles, internos y externos, para la información del cliente, valore la suficiencia de las salvaguardas existentes y oriente el diseño del programa de seguridad. La evaluación debe actualizarse periódicamente.

3. Salvaguardas basadas en la Evaluación de Riesgo

Salvaguardas técnicas y físicas concretas, proporcionales a los riesgos identificados, incluyendo:

• Controles de acceso Restricciones de autenticación y autorización, limitando quién puede acceder a la información del cliente
• Inventario de datos Identificación y gestión de los datos del cliente, dónde se almacenan, quién accede a ellos y cuándo se destruyen
• Cifrado La información del cliente debe estar cifrada tanto en tránsito por redes externas como en reposo, salvo que la persona cualificada apruebe un control compensatorio
• Desarrollo seguro Adopción de prácticas de desarrollo seguro para las aplicaciones internas y evaluaciones de seguridad para las desarrolladas externamente
• Autenticación multifactor Se exige MFA a toda persona que acceda a la información del cliente, con excepciones limitadas aprobadas por la persona cualificada
• Eliminación Eliminación segura de la información del cliente como máximo dos años después de la última interacción con el cliente
• Gestión del cambio Procedimientos para evaluar y ajustar el programa de seguridad ante cambios en las operaciones o en la tecnología
• Monitorización Registros de la actividad de los usuarios autorizados suficientes para detectar accesos no autorizados

4. Monitorización Continua o Pruebas de Penetración Anuales

El negocio debe probar regularmente o monitorizar de otro modo la efectividad de sus salvaguardas. La norma especifica monitorización continua o, alternativamente, pruebas de penetración anuales más evaluaciones de vulnerabilidad al menos cada seis meses.

5. Formación

Formación en concienciación de seguridad para todo el personal, más formación especializada para el personal de seguridad acorde con sus responsabilidades.

6. Supervisión de Proveedores de Servicio

El negocio debe seleccionar proveedores de servicio capaces de mantener salvaguardas adecuadas, exigírselas contractualmente y evaluar su desempeño periódicamente.

7. Evaluación y Ajuste del Programa

El programa de seguridad debe evaluarse y ajustarse en función de los resultados de las pruebas, de la monitorización, de los cambios del negocio y de cualquier otro factor relevante.

8. Plan de Respuesta a Incidentes

Un plan escrito de respuesta a incidentes que cubra objetivos, procesos internos, roles y responsabilidades, comunicación, remediación, documentación y evaluación posterior al incidente.

9. Reporte al Órgano de Gobierno

La persona cualificada debe informar por escrito al consejo o a la alta dirección, al menos anualmente, sobre el estado general del programa de seguridad, los asuntos materiales relacionados con él y las recomendaciones de cambios.

Notificación de Brechas

Una enmienda adicional de 2023 añadió un requisito de notificación: los negocios cubiertos deben notificar a la FTC cualquier incidente de seguridad que afecte a 500 o más consumidores cuanto antes y como máximo 30 días después de su descubrimiento. Entró en vigor en mayo de 2024.

Aplicación

La FTC hace cumplir la Safeguards Rule. Las sanciones pueden incluir órdenes de conformidad (consent orders), programas obligatorios de cumplimiento, monitorización continua y multas civiles. La FTC ha emprendido acciones contra negocios por no implementar salvaguardas básicas, con órdenes de conformidad que normalmente exigen 20 años de informes de cumplimiento y auditorías bienales por terceros.