财务及行政政策
红旗规则政策
本政策的目的是建立一个身份盗窃预防计划设计 侦测、防止及减轻身分盗窃与开设一间 承保帐户或现有的承保帐户,并提供持续的管理 节目的内容.
政策
金融机构监管机构,包括联邦贸易委员会 根据博览会第114及315条发布最终规则(红旗规则) 2003年准确信贷交易法案. 红旗规则要求制度 或者“债权人”(定期推迟付款的企业或组织) 或服务)持有“承保账户”(一个人为之付款的消费者账户) 重复付款或其他存在合理可预见的身份风险的账户 盗窃)制定和实施身份盗窃预防计划.
富兰克林 & 冰球突破正规网站(学院)采取身份盗窃的可能性 ,并完全遵守红旗规则,制定和执行 身份盗窃计划(计划). 考虑到学院的规模 运作和会计制度,以及书院活动的性质和范围; 校董会决定这个计划适合富兰克林 & 因此,冰球突破正规网站于2009年5月15日批准了该计划,并生效 (“生效日期”)于2009年5月1日生效.
目的
本政策的目的是建立一个身份盗窃预防计划设计 侦测、防止及减轻身分盗窃与开设一间 承保帐户或现有的承保帐户,并提供持续的管理 节目的内容. 该计划应包括合理的政策和程序,以便:
-
-
识别其提供或维护和合并的覆盖账户的相关危险信号 这些危险信号进入程序;
-
检测已纳入计划的危险信号;
-
适当地响应检测到的任何危险信号,以防止和减轻身份 盗窃; and
-
确保项目定期更新,以反映学生面临的风险变化 并对债权人的安全和健全免受身份盗窃.
-
以下学院的业务目前被确定有潜在的风险 以身份盗窃,或从事本政策的执行,并因此 参加本项目:
-
-
营业处:学生业务部
-
金融
-
人力资源
-
辅助服务
-
信息技术
-
发展服务
-
本计划应酌情纳入现有的政策和程序 合理控制可预见风险.
定义:
身份盗窃 指利用他人身份信息实施或企图实施的欺诈行为 没有权威.
债权人 指定期拖欠商品或服务付款的企业或组织, 或者向客户提供商品或服务,然后给客户结账.
覆盖帐户 指债权人开设或维持的账户,主要用于个人、家庭、 或涉及或设计为允许多次付款的家庭用途 交易,或其他存在合理可预见的识别风险的账户 盗窃.
红旗 指表明可能存在的一种模式、实践或特定活动 身份盗窃.
覆盖账户
富兰克林 & 冰球突破正规网站设计了这个身份盗窃政策,以保护某些 学院维护的学生和员工账户类型. 每一个新的和存在的 符合以下条件的帐户将受此政策的保护.
-
-
任何学院提供给学生和员工的帐户,涉及或是 designed to permit multiple payments or transactions; or
-
任何其他由学院提供或维护的学生或员工帐户 对学生和员工或安全存在合理可预见的风险 确保学院免受身份盗窃,包括财务,运营, 合规、声誉或诉讼风险.
-
识别相关危险信号
该计划应酌情包括以下类别中的相关危险信号:
-
-
从消费者报告机构收到的警报、通知或其他警告 或服务提供商,如欺诈检测服务;
-
提交可疑文件,这些项目似乎被修改或 伪造的;
-
出示可疑的个人身份信息,如照片 或者证件上的身体描述与外表不符 出示证件的学生;
-
由非学院颁发的电子邮件帐户发出的请求;
-
邮寄请求:要求将某物邮寄到未登记的地址;
-
The unusual use of, or other suspicious activity related to, a covered account; and
-
来自学生、员工、身份盗用受害者、执法部门的通知, 或其他可能与所涉帐户有关的身份盗窃的人.
-
侦测危险信号
该方案应解决与开业有关的危险信号的检测问题 担保账户和现有担保账户,例如:
-
-
获取关于一个人的身份信息,并验证其身份 a covered account; and
-
对学生和员工进行身份验证,监视事务,并验证 现有受保帐户更改地址要求的有效性.
-
响应
该计划应提供对检测到的危险信号的适当响应,以防止 减少身份盗窃. 回应应与…的程度相称 带来的风险. 所有活动和反应都必须符合标准操作程序 (SOP). 这些标准操作程序见下文附录. 回答的样本范围 检测到的危险信号如下:
-
-
监控一个账户是否有身份盗窃的证据;
-
拒绝访问覆盖的帐户,直到有其他信息可以消除 红灯亮起时,或关闭现有承保账户;
-
联系学生或员工;
-
更改允许访问的任何密码、安全代码或其他安全设备 到一个有担保的帐户;
-
以新户口号码重开已登记户口;
-
未开立新的担保账户;
-
Notify law enforcement; or
-
确定在特定情况下无需回应.
-
更新程序
该计划应每年更新一次,以反映学生面临的风险变化 员工或学院的安全和健全从身份盗窃为基础 这些因素包括:
-
-
学院处理身份盗窃的经验
-
身份盗窃方法的变化;
-
改变侦测、预防和减轻身份盗窃的方法;
-
Changes in the types of accounts that the College offers or maintains; or
-
学院业务安排的变化,包括合并、收购、联盟、 合资企业和服务提供商安排.
-
项目监督
学院高级行政人员(首席财务官)将负责 对于该计划. 该计划的监督应包括:
-
-
分配项目实施的具体责任并确保 为学院员工提供适当的培训,以发现危险信号 当发现危险信号时应采取的响应步骤;
-
审查所有员工关于检测危险信号的报告和步骤 防止和减轻身份盗窃;
-
确定应特别采取哪些预防和缓解措施 的情况;
-
Review of reports prepared by staff regarding compliance; and
-
批准必要的项目重大变更,以应对不断变化的风险 身份盗窃.
-
报告应编制如下:
-
-
负责开发、实施和管理项目的人员 至少每年向高级行政部门报告学院的合规情况 有了计划.
-
报告应涉及与本计划有关的重大事项,并对问题进行评估 如:
-
处理身份风险的政策和程序的有效性 与开立承保账户有关的盗窃,以及与现有的 覆盖账户;
-
从这些服务中收到的服务提供商协议和相关通信 供应商,如内部控制和合规报告;
-
Significant incidents involving identity 盗窃 and management's response; and
-
对项目的重大变更提出建议.
-
-
监督服务提供者安排
学院应采取措施,确保服务提供者的活动是 按照合理的政策和程序进行,旨在发现, 防止和减轻身份盗窃的风险,每当学院从事的服务 供应商执行与一个或多个受保账户相关的活动. (e.g. 珀金斯贷款计划).
齿顶高
标准操作程序
I. 检测危险信号
A. 新账户
为了检测与a的打开相关的任何红旗 新帐户,学院人员将采取以下一个或多个步骤来获取和核实 开户人的身份:
检测
-
-
需要某些识别信息,如姓名,出生日期,居住地或 营业地址、单位主要营业地点、驾驶执照等 识别;
-
验证客户的身份(例如,检查驾驶执照或其他身份证明) 卡);
-
审查证明企业实体存在的文件;
-
Request additional documentation to establish identity; and
-
独立联系客户或业务.
-
B. 现有的账户
来检测与。关联的任何危险信号 现有的账户,学院人员将采取以下步骤,以监控交易与一个 帐户:
检测
-
-
核实客户的身份,如果他们要求提供信息(亲自,通过 电话、传真、电子邮件);
-
Verify the validity of requests to close accounts or change billing addresses; and
-
验证为帐单和付款目的而提供的银行信息的更改.
-
II. 防止和减轻身份盗窃
如果学院人员发现任何危险信号,该人员将获得一个 或以上下列步骤,视乎红旗所构成的风险程度而定:
预防和减轻
-
-
继续监控账户,寻找身份盗窃的证据;
-
联系客户,有时通过多种方式;
-
更改任何允许访问帐户的密码或其他安全设备;
-
不开新账户;
-
关闭现有帐户;
-
不要关闭账户,但要监控或联系有关部门;
-
用新号码重新开户;
-
通知项目管理员确定应采取的适当步骤;
-
Notify law enforcement; or
-
确定在特定情况下无需作出回应.
-
保护客户身份信息
为了进一步防止身份盗窃发生的可能性与尊重 对富兰克林 & 马歇尔账户,学院将采取以下步骤尊重 以其内部操作程序保护客户识别信息;
-
-
确保并提供明确的通知,说明其网站是安全的或提供明确的通知 网站不安全;
-
在允许的时间和地点,确保完整和安全地销毁纸质文件 以及包含客户信息的计算机文件;
-
确保办公室电脑有密码保护,电脑屏幕上锁 经过一段时间后;
-
定期更改办公室电脑的密码;
-
确保所有电脑已妥善备份,并确保备份资料安全;
-
保持办公室远离包含客户信息的文件;
-
只要求提供社会安全号码的最后四位数字(如果有的话);
-
Ensure computer virus protection is up to date; and
-
只要求和保留实用程序所必需的客户信息 目的.
-
确保客户识别资料的硬拷贝妥善保管 和担保. 例如,锁上存放敏感信息的文件柜 并且只允许合适的人员访问这些信息.
-
-----
政策维护:财务与行政,财务与行政副总裁
最后审查:2023年7月19日