Freigeben über


Gramm-Leach-Bliley Act (GLBA)

Übersicht über GLBA

Der Gramm-Leach-Bliley Act (GLBA) ist ein US-Amerikanisches Gesetz, das die Finanzdienstleistungsbranche reformierte und es Geschäfts- und Investmentbanken, Wertpapierfirmen und Versicherungsunternehmen ermöglichte, ihre Bedenken im Hinblick auf den Schutz der Privatsphäre der Verbraucher zu konsolidieren und auszuräumen. Es verpflichtete die Federal Trade Commission (FTC) und andere Finanzdienstleistungsaufsichtsbehörden, Vorschriften zu implementieren, um datenschutzrechtliche Bestimmungen wie die Financial Privacy Rule und die Safeguards Rule zu behandeln. Die GLBA-Anforderungen zum Schutz sensibler Verbraucherdaten gelten für Finanzinstitute, die Finanzprodukte und -dienstleistungen für Verbraucher anbieten, z. B. Kredite, Anlageberatung und Versicherungen. Die FTC wird mit der Durchsetzung der Compliance beauftragt.

Microsoft und GLBA

Microsoft Azure, Microsoft Office 365, Dynamics 365 und Microsoft Power BI können dazu beitragen, die strengen Anforderungen an die Bereitstellung von Clouddiensten für Finanzdienstleister zu erfüllen. Als Teil unseres Supports bieten wir Anleitungen an, die Ihnen helfen, die Anforderungen der GLBA zu erfüllen, indem wir technische und organisatorische Sicherheitsvorkehrungen bereitstellen, um die Sicherheit aufrechtzuerhalten und eine nicht autorisierte Nutzung zu verhindern.

Microsoft hat Risikobewertungstools sowohl für Azure als auch für Office 365 entwickelt, mit denen Sie eine Risikobewertung von Azure und Office 365-Diensten effizienter durchführen können. Das Tool (eine Excel-Kalkulationstabelle) verfügt über zahlreiche Informationssicherheitsdomänen (z. B. Sicherheitsrichtlinien und Risikomanagement), die die Anforderungen von Finanzdienstleistungsvorschriften und anderen relevanten Standards nachverfolgen, einschließlich GLBA (in Spalte R in der Azure-Tabelle und Spalte Q im Office 365 Arbeitsblatt). Die Tools erläutern, wie Azure und Office 365 die einzelnen Anforderungen erfüllen, die für Clouddienstanbieter gelten, und können Sie dabei unterstützen, die GLBA-Sicherheitsanforderungen zu erfüllen.

Fördern Ihrer GLBA-Compliance

Zu Microsoft gehörende Cloudplattformen und -dienste

  • Azure
  • Dynamics 365
  • Intune
  • Office 365, Office 365 US-Regierung
  • Power BI-Clouddienst (entweder als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten)

Azure, Dynamics 365 und GLBA

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure GLBA-Angebot.

Office 365 und GLBA

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender for Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do für Web, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Cloud App Security, Office 365 Groups, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage
GCC Microsoft Entra ID, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365 Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Häufig gestellte Fragen

Gewusst wie wissen, ob mein Finanzinstitut das GLB-Gesetz einhalten muss?

Die FTC beantwortet diese Frage ausführlich auf ihrer GLB Act-Seite, Wer wird von der Datenschutzregel abgedeckt?

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen

Weitere Microsoft-Ressourcen für Finanzdienste