草案48.001:防止身份盗窃

状态:

草案

认可:

David Moore,财务和行政副总裁

档案副本上的签名和日期

  1. 概述

    危险信号规则于2007年根据2003年《公平准确信贷交易法》(FACTA)第114条发布,并在16 CFR 681.1中公布。建立危险信号规则是为了保护消费者免受身份盗窃的侵害。本政策的目的是帮助员工识别、检测和响应模式、做法和/或特定的活动,这些活动被称为可能表明身份盗窃的危险信号。

  2. 定义

    1. 覆盖帐户:包括俄亥俄大学管理的所有学生、病人和雇员账户或贷款。
      1. 任何涉及或指定允许多次付款或交易的账户;或
      2. 大学维护的任何其他帐户,其对学生、教师、员工、客户或其他适用成分存在合理可预见的身份盗窃风险,或者对大学的安全或健全存在合理可预见的身份盗窃风险,包括财务、运营、合规、声誉或诉讼风险。
    2. 识别信息:可单独使用或与任何其他信息一起用于识别特定人员的任何姓名或号码,包括但不限于:姓名、地址、电话号码、社会安全号码、出生日期、政府颁发的驾驶执照或身份证号码、外国人登记号码、政府护照号码、雇主或纳税人身份证号码、学生身份证号码、计算机互联网协议地址或路由代码、信用卡号码或其他信用卡信息。
    3. 危险信号:表明可能存在身份盗窃的模式、做法或特定活动。
    4. 身份盗窃:未经授权使用或试图使用他人身份信息的欺诈行为。
    5. 服务提供者:代表学校执行与所涵盖帐户相关活动的个人或实体(例如:催收机构,计费服务机构)。

  3. 覆盖帐户

    1. 俄亥俄大学已经确定了属于承保账户定义的各种类型的账户,如下所述:
      1. 学生贷款(包括但不限于联邦珀金斯贷款计划、卫生专业贷款和机构贷款)
      2. 学生记录(包括但不限于学生ERP, peoplesoft,住宅住房系统和山猫现金)。
      3. 患者/客户账户(包括但不限于医院和诊所)
      4. 员工记录(包括但不限于oracle ebiz)

  4. 识别和检测危险信号

    1. 俄亥俄大学的身份盗窃预防计划解决了与开立担保账户和现有担保账户有关的危险信号的检测,例如:
      1. 获取和验证一个人的身份的识别信息。例如,要求任何与学校开展业务的人在开设涵盖账户和现有账户时出示有效的带照片的身份证明或其他身份证明。
      2. 对客户进行身份验证,监视交易,并在现有帐户的情况下验证地址更改请求的有效性。
    2. 以下危险信号的例子是欺诈或身份盗窃的潜在指示。识别相关危险信号的风险因素包括所提供或维持的承保账户类型;开立或存取适用帐户的方法;还有身份盗窃的前科。一旦发现危险信号或类似危险信号的情况,必须进行调查核实。一些例子是:
      1. 来自信用或消费者报告机构的警报、通知或警告。
      2. 可疑的文件。
      3. 可疑的个人识别信息。
      4. 不寻常的使用或可疑的相关活动。

  5. 应对危险信号

    一旦检测到危险信号或潜在危险信号,员工必须迅速采取行动,考虑到危险信号带来的风险。发现危险信号的员工必须收集所有相关文档,写一份情况描述,并将此信息提交给项目管理员(目前是负责财务的副总裁),由其决定。程序管理员将完成其他身份验证,以确定尝试的事务是欺诈性的还是真实的。

  6. 保护个人信息

    项目管理员指定的员工必须每年审查一次大学的红旗项目。大学工作人员也被鼓励使用良好的判断,以确保覆盖的帐户信息。此外,指定的员工必须审查政策12.020学生记录、政策93.001数据分类、政策40.007公共记录请求、政策12.027学生身份验证以及其他适用的法律和政策。如果员工不确定某条信息的敏感性,他/她必须联系他/她的主管。如果主管不确定,他们必须联系项目管理员以获得进一步的建议。

  7. 项目管理

    大学项目的运作责任被委派给项目管理员。项目管理员的职责是监督、制定、实施和管理项目;批准和实施项目所需的变更;以及员工培训。项目管理员还负责确保采取适当的步骤来防止和减轻身份盗窃,审查有关检测到危险信号的任何工作人员报告,并确定在怀疑或检测到危险信号的特定情况下必须采取哪些步骤。

  8. 员工培训

    必须对所有可能接触到保险账户或识别信息的员工进行员工培训,这是由项目管理员确定的。项目管理员必须保留所有指定员工的培训记录,以显示所有指定员工已接受年度培训。

  9. 定期更新程序

    1. 该计划将每年重新评估,以确定该计划是否解决了当前相关的和新出现的身份盗窃风险。将考虑学校处理身份盗窃事件的经验;身份盗窃方式、侦查方式或者防范方式发生变化;以及大学与其他实体的商业安排的变化。
    2. 定期审查将包括评估哪些账户被该计划覆盖。作为审查的一部分,可能会修改、替换或消除危险信号。定义新的危险信号可能也是合适的。在怀疑或发现欺诈活动时采取的行动也可能需要修改程序。

  10. 服务供应商安排概述

    大学有责任确保所有服务提供者的活动都按照指定的合理政策和程序进行,以检测、预防和减轻身份盗窃的风险。如果大学聘请服务提供商执行与一个或多个覆盖帐户相关的活动,大学将采取措施确保服务提供商按照合理的政策和程序执行其活动,旨在检测,预防和减轻身份盗窃的风险。

 

表格、参考资料和历史

  1. 形式

    以下表格适用于本保单:

    没有特定于此策略的表单。

  2. 参考文献

    下列事项与本政策有关:

    1. 16 CFR 681.1- www.ftc.gov/policy/federal-register-notices/identity-theft-red-flags-and-address-discrepancies-under-fair-and
    2. 策略12.020学生记录
    3. 策略93.001数据分类
    4. 策略40.007公共记录请求
    5. 政策12.027核实学生身份
    6. 俄亥俄大学身份盗窃预防项目

    俄亥俄大学身份盗窃预防计划- /sites/default/files/sites/bursar/identity-theft-prevention-program.pdf

  3. 历史

    在有密码保护的review站点上,可以找到该政策的草稿版本,它们的封面备忘录、表单以及评论者对它们的评论。

    本政策的先前版本是在:

    1. 2019年1月25日