30.身份盗窃保护政策
老板:
- 位置: 信息技术副总裁和首席信息官,信息技术
- 电子邮件: oit-security@wxzjnt.com
最后更新: 2023年2月28日
序言. 美国.S. 国会通过颁布《365滚球官网》(“FACTA”)和《365体育滚球》(“FCRA”),保护消费者免受身份盗窃。. FACTA指示联邦贸易委员会(“FTC”)发布法规, 现在一般称为"危险信号规则"("规则"), 它们要求金融机构和债权人采取政策和程序,保护消费者免遭身份盗窃.
相应的, 明尼苏达大学采用此政策识别, 防止 减少身份盗窃 in compliance with the Rule; approve and establish an Identity Theft Prevention Program; and appoint a program administrator who has primary responsibility for oversight of the Program.
A. 定义.
A-1. 债权: 任何自然人, 公司或其他实体定期, 在日常工作中也是如此, 预付款项给某人或代表某人预付款项, 抵押的:基于偿还资金的义务或从某人抵押的特定财产中可偿还的.
A-2. 覆盖帐户: 大学为个人提供或维护的账户,主要用于个人用途, 家庭, 或用于家庭用途,并设计为允许多次支付或交易, 或者是任何账户受到一个合理的可预见的风险的身份盗窃.
A-3. 确认信息: 可单独使用或与任何其他信息结合使用以识别特定人员的任何姓名或号码, 包括:名字, address, 电话号码, 社会保险号, 出生日期, 驾驶执照或身份证号, 外国人登记号码, 护照号码, 雇主或纳税人识别号码.
A-4. 身份盗窃: 未经授权使用或企图使用他人身份信息的欺诈行为.
A-5. 红色标记: 一种模式、做法或特定的活动,表明有可能发生身份盗窃.
A-6. 红旗规则(规则): 联邦贸易委员会通过的规定,要求债权人采取保护消费者免遭身份盗窃的政策和程序.
A-7. 项目管理员: 被指定对该计划的监督负有主要责任的个人.
B. 政策. 遵守规则的要求是大学的政策. 相应的, 我大学已经开发了一个程序,旨在满足规则的要求来识别, 防止, 减少身份盗窃. The Program contains mechanisms to identify and detect relevant Red Flags; respond appropriately to 防止 identity theft and mitigate damages; and ensure that the Program is updated periodically to reflect changes in risks.
B-1. 识别危险信号. 识别相关的危险信号, the U of I considers the types of covered accounts that it offers and maintains; the methods it provides to open and access the covered accounts, 包括面对面, 邮寄或网上方式, 以及365滚球官网之前的身份盗窃经验. 承保账户的例子包括但不限于以下:
本处已就承保帐目及/或对外帐目找出下列可能出现的危险信号:
a. 消费者/信用报告机构的通知或警告: 警报, 通知, 或从消费者报告机构或服务提供商收到的其他警告,表明:
- 信贷冻结
- 现役警戒
- 针对信用报告请求处理差异
- 与帐户持有人的通常模式或活动不一致的活动
b. 可疑的文件: 提交疑似篡改的可疑文件, 伪造的或不真实的, 包括文件上的照片或实物描述与提交人不一致.
c. 可疑的个人识别信息: 提供不一致的个人识别资料,例如:
- 出生日期不一致
- 与申请中先前提交的地址不匹配的地址
- 社会安全号码, 与另一帐户持有人所提供的电话号码或地址相同
- 一再未能在申请中提供识别信息
d. 适用帐户的可疑使用或活动: 不寻常的使用或其他可疑的活动,涉及的帐户包括, 但不限于:
- 请求来自非伊利诺伊大学发行的电子邮件帐户
- “非正式”表格,用于索取资料
- 邮件因无法投递而被退回
- 其他一致帐户的付款变更通知
e. 来自他人的提醒: 帐户持有人通知, 身份盗窃的受害者或执法当局,该大学已经开设或正在维护一个从事身份盗窃的人的欺诈性帐户.
B-2. 侦测危险信号. 该计划必须建立在指定活动区域检测危险信号的程序. 这些程序规定如下:
a. 开立承保帐户: 首次帐户持有人须核实身份, 包括标识信息的呈现,如姓名, 出生日期, 学业成绩或保险卡, 家庭住址, 哪些将随后通过审查驾驶执照来验证, 护照或其他政府签发的带照片的身份证明和保险公司的信息.
b. 现有承保帐户: 需要认证帐户持有人,并监察有关帐户的交易, 包括:
- 核实帐户持有人的身份,如果他们要求提供资料(当面), 通过电话, 通过传真, 通过电子邮件)
- 核实为帐单或付款而更改的银行资料
- 所涵盖帐户的帐单地址更改请求必须经过核实,并向帐户持有人提供通知更改或不正确的帐单地址的方法
c. 消费者/信用报告请求: 当消费者/信用报告请求导致报告机构通知地址不符时, 伊利诺伊大学的工作人员将要求报告对象出具书面证明,证明他/她提供的地址是准确的, 一旦确认了地址, U of I人员会将此地址报告给报告机构.
d. 风险评估: 风险评估将每年进行,以及在实际发生身份盗窃事件时进行.
B-3. 对危险信号的回应. 作为对红旗检测的回应, ui人员将采取适当的行动,以防止和减轻身份盗窃取决于危险的程度构成的红旗, 包括:
- 监视有担保账户的可疑活动
- 拒绝访问覆盖的帐户,直到信息被核实,以消除红旗
- 联系账户持有人,核实所覆盖账户的活动
- 更改密码、安全码或其他安全装置
- 关闭和重新打开覆盖的帐户
- 拒绝开立新的担保账户
- 通知执法部门
- 经对具体情况进行合理调查,确定无回应的必要
B-4. 更新程序. 大学将定期更新该计划(包括确定为相关的危险信号), 以反映身份盗窃对学生或他人的风险变化,或对大学的安全和健全的影响, 基于以下因素:
- 犹他大学的身份盗窃经历
- 身份盗窃方法的变化
- 检测、预防和减轻身份盗窃的方法发生了变化
- U of I提供或维护的帐户类型的更改
- U of I业务安排的变化, 包括合并, 收购, 联盟, 合资企业, 以及服务提供商的安排
B-5. 本计划的管理方法.
a. 项目监督: 本计划应由主管信息技术的副总裁和主管财务与行政的副总裁监督. 这种监督应包括:
- 由信息技术副总裁执行该计划. 监督本计划的主要责任属于首席信息安全官, 担任项目管理员的角色.
- 检讨报告, 由工作人员准备的关于大学遵守身份盗窃预防政策和计划的报告, 项目管理员.
- 根据需要对项目进行重大修改,以应对不断变化的身份盗窃风险.
b. 员工培训及汇报: 大学的人员将至少每年接受培训,或在项目管理员的指导下,有效地实施项目,发现并应对危险信号. 伊利诺伊大学人员将通知项目管理员任何身份盗窃或未能遵守项目的事件. 由项目管理员指定的大学工作人员至少每年向项目管理员报告一次, 或者按要求. 除其他有关问题外,这些报告将包括:
- 有关的具体政策和程序是否有效,以应付目前与受保帐户有关的身份盗窃风险
- 任何涉及身份盗窃的重大事件及所采取的应对措施
- 对项目的重大变更提出建议
c. 对服务提供者的监督: 如果U of I与外部服务提供商签订合同,以执行与覆盖帐户相关的任何活动, 联合国将确保:
- 服务提供者的活动是按照合理的政策和程序进行的,旨在检测, 防止和减轻身份盗窃的风险
- 服务提供商审查项目,并将任何危险信号报告给项目管理员或指定的负责监督服务关系的U / I人员
B-6. 不服从. 不遵守此政策可能会导致后果, 视不遵守的性质而定, 在用户的账户或访问U / I技术资源被暂时暂停, 或禁用, 或者永久终止. 在临时中止的情况下, 在恢复用户的帐户或访问权限之前,大学可能要求实施某些补救措施或满足某些教育课程. 另外, 用户可能会被转介到适当的国际大学纪律机构进行体制制裁.
C. 范围. 本政策适用于所有大学员工, 学生, 参与处理信息的志愿者和代理人,这些信息可用于识别与伊利诺伊大学维护的该人的某些帐户有关的特定人员.
D. 异常. 本政策的全部或部分例外请求可以书面形式提交给项目管理员,项目管理员将评估风险并作出决定. 决定将以书面形式提供给请求人. 任何例外情况必须至少每年审查一次.
E. 联系信息. 这项政策的负责人是信息技术副总裁, its-security@wxzjnt.com. 项目管理员可以协助解决有关此政策和项目的问题.
F. 参考文献.
- 公平准确信用交易法
- 公平信用报告法