防止身份盗窃(“红旗”)计划

负责人: 业务办公室

相关法律 & 政策: 覆盖账户

范围

这项政策涵盖了美高梅mgm成员的个人和私人信息, 包括教师, 工作人员, 学生, 供应商, 志愿者和捐助者.
 

政策声明

本政策在美高梅mgm实施了身份盗窃预防计划(“计划”), 根据《美高梅mgm》第114条和第315条联邦贸易委员会的红旗规则, 修订了《公平信用报告法.  这一政策及其相关程序是根据大学运作的规模和复杂程度以及其活动的性质和范围而确定的.
 
程序的目的是检测, 防止及减轻与处理大学事务有关的身份盗窃.  This policy and related procedures are designed to identify relevant red flags and incorporate them into the Program; detect red flags that are part of the Program; respond appropriately to any red flags that are detected; and ensure the Program is updated periodically to address changing risks.
 

定义

根据16摄氏度的红旗条例. F. R. § 681.2、下列定义适用于本计划:
 
覆盖账户:
 
1. 大学提供或维护的主要用于个人的任何帐户, 家庭或家庭用途, 这允许多次支付或交易.
 
2. 大学提供或维护的任何其他账户,其对客户或大学的安全与稳健存在合理可预见的风险,以防身份被盗用, 包括金融, 操作, 合规, 声誉, 或者诉讼风险.
 
信贷: 债权人授予债务人延迟偿还债务或招致债务并延迟支付或购买财产或服务并因此推迟支付的权利.
 
债权人有规律地延长、更新或延续信用的实体.
 
客户任何与债权人有担保账户的人.
 
识别信息可以使用的任何名称或号码, 单独或与任何其他信息结合使用, 识别一个特定的人, 包括:
  • 名字。
  • Address
  • 电话号码
  • 社会保险号
  • 出生日期
  • 政府颁发的驾驶执照或身份证号
  • 外国人登记号码
  • 政府护照号码
  • 雇主或纳税人识别号码
  • 唯一电子识别码
  • 计算机的互联网协议地址或路由代码
  • 学生证
  • 出生证明
  • 保险卡
  • 健康记录
  • 成绩单
身份盗窃: 未经授权使用他人身份信息的欺诈行为.
 
红旗表明可能存在身份盗窃的模式、做法或特定活动.

合规

美高梅mgm需要建立一个身份盗窃预防计划(“计划”)来检测, 防止, 减少身份盗窃. 该计划应包括合理的政策和程序,以便:
  1. 识别其提供或维护的承保账户的相关危险信号,并将这些危险信号纳入计划.
  2. 检测并记录已纳入程序的危险信号. 
  3. 对检测到的任何危险信号作出适当反应,以防止和减轻身份盗窃.
  4. 确保定期更新该计划,以反映客户身份盗窃风险的变化,以及大学作为债权人角色的安全和健全.
  5. 管理项目
程序应, 适当的, 结合现有的政策和程序来控制合理可预见的风险.

大学负责人
负责财务和行政的副总裁, 或者她指定的高级管理人员, 将担任项目管理员. 项目管理人应对项目实施适当和有效的监督,高级管理人员应定期向财务和行政副总裁报告.
 
项目管理、维护和责任
项目管理员及其指定人员负责开发, 在整个大学系统内实施和更新该计划. 项目管理员及其指定人员将负责确保对大学员工进行适当的项目培训, 审核任何有关侦测危险信号及识别步骤的员工报告, 防止和减轻身份盗窃, 确定在特定情况下应采取哪些预防和缓解措施,并考虑对《方案》进行定期修改.
 
该计划将每年进行审查和更新,以反映身份盗窃风险和技术变革的变化. 项目管理员将考虑学校在身份盗窃方面的经验, changes in identity theft methods; changes in identity theft detection, mitigation and 防止ion methods; changes in types of accounts the 大学 maintains; changes in the 大学’s business arrangements with other entities, 以及身份盗窃方面的法律要求是否有变化. 在考虑了这些因素之后, 项目管理员将决定是否对项目进行变更, 包括红旗公司的名单, 是必要的.
 
如有必要,项目管理员应与所有适当的大学人员协商,以确保项目得到遵守. 项目管理员应将任何建议的变更提交财务和行政副总裁批准. 财务和行政副总裁的批准应足以对该计划进行更改.
 
识别相关危险信号
以便识别相关的危险信号, 大学考虑其提供和维护的帐户类型, 它提供的开户方法, 它提供的访问其帐户的方法, 以及之前在身份盗窃方面的经验. 以下是相关的危险信号, 在列出的每个类别中, 大学人员应留意及留意以下事项:
  1. 信用报告机构的通知和警告
    • 随附信用报告的欺诈报告;
    • 信贷机构关于客户或申请人信贷冻结的通知或报告;
    • Notice or report from a credit agency of an active duty alert for an applicant; and
    • 信用报告中对与客户通常模式或活动不一致的活动的指示.
  2. 可疑的文件
    • 伪造、变造或者不真实的身份证明文件、证件;
    • 本人的照片或者外貌与出示证件的人不一致的身份证件或者证件;
    • Other document with information that is not consistent with existing customer information (such as if a person’s signature on a check appears forged); and
    • 有涂改、伪造的服务申请书的.
  3. 可疑的个人识别信息
    • 识别与客户提供的其他信息不一致的信息(例如:不一致的出生日期);
    • 识别与其他信息来源不一致的信息(例如, 地址与信用报告上的地址不相符);
    • 所提供的识别信息与其他被发现具有欺诈性的申请上显示的信息相同;
    • 提供的与欺诈活动一致的识别信息(例如无效的电话号码或虚构的账单地址);
    • 出示的社会保障号码与另一位客户提供的号码相同;
    • 地址:与另一个人相同的地址或电话号码;
    • 如有人被提醒在申请表格上提供完整的个人识别资料,但未能提供, by law social security numbers must not be required); and
    • 一个人的身份信息与客户存档的信息不一致.
  4. 可疑账户活动或账户异常使用
    • 更改帐户的地址,然后要求更改帐户持有人的姓名;
    • 付款停止在一个一致的最新帐户;
    • 账户的使用方式与之前的使用方式不一致(例如:非常高的活动);
    • Mail sent to the account holder is repeatedly returned as undeliverable; Notice to the 大学 that a customer is not receiving mail sent by the 大学;
    • 通知学校帐户有未经授权的活动;
    • Breach in the 大学’s computer system security; and
    • 未经授权访问或使用客户帐户信息.
  5. 来自他人的提醒
    • 客户给大学的通知, 身份盗窃受害者, 为从事身份盗窃的人开设或维持欺诈账户的执法人员或其他人.
 
侦测危险信号
项目管理员及其指定人员将制定并实施适合本项目要求的具体方法和协议.
  1. 新账户
为了检测上述任何与开立新账户相关的危险信号, 大学工作人员将采取适当措施获取并核实开户人员的身份.  这些步骤可包括以下内容:
  • 需要某些识别信息,如姓名, 出生日期, 居住或办公地址, 驾驶执照或其他身份证明;
  • 验证客户的身份(例如, 检查驾驶执照或其他身份证件);
  • 独立联系客户.
  1. 现有的账户
以检测任何上述识别的现有帐户的红旗, 大学工作人员将采取适当措施监控账户交易.  这些步骤可包括以下内容:
  • 如果客户要求提供信息,核实客户的身份(当面), 通过电话, 通过传真, 通过电子邮件);
  • Verify the validity of requests to change billing addresses; and
  • 验证为帐单和付款目的而提供的银行信息的更改.
 
应对危险信号和减轻身份盗窃
如果大学人员发现任何危险信号, 这些人员应根据红旗构成的风险的性质和程度,采取适当步骤应对和减轻身份盗窃, 包括但不限于以下例子:
  1. 监控一个账户,寻找身份盗窃的证据.
  2. 联系客户.
  3. 更改任何密码, 允许访问受保护帐户的安全代码或其他安全设备.
  4. 用新帐号重新打开已覆盖的帐户.
  5. 不是开一个新的担保账户.
  6. 关闭现有的承保账户.
  7. 通知执法部门.
  8. 提交或协助提交可疑活动报告(SAR).
  9. 确定在特定情况下无需回应.
 
保护识别信息
为了进一步防止受保账户发生身份盗窃的可能性, 大学会就其内部操作程序采取以下步骤,以保护识别资料:
  1. 确保其网站是安全的,或提供明确的通知,说明该网站不安全.
  2. 当决定不再保存账户信息时,确保将包含这些信息的纸质文件和电脑文件完整而安全地销毁.
  3. 确保可访问“承保帐户”信息的办公室电脑有密码保护.
  4. 只在必要时使用社会安全号码.
  5. 确保电脑病毒防护是最新的.
  6. 只索取和保留大学所需的信息.
  7. 文件柜, 抽屉, 头顶的橱柜, 其他包含敏感信息的存储空间在不使用时将被锁定. 
  8. 桌子, 工作站, 工作区域, 打印机, 传真机, 公共共享工作区将清除包含敏感信息的文件.
  9. 白板、白板、写字板等.,在公共区域不使用时将被擦除、移除或粉碎.             
 
服务提供者安排
如果大学聘请服务提供商执行与一个或多个帐户相关的活动, 大学将采取适当措施,确保服务提供者按照旨在检测的合理政策和程序执行其活动, 防止, 并降低身份被盗的风险. 这些步骤可包括以下内容:
  1. 审查该服务提供商的身份盗窃政策和程序的副本;
  2. 需要, 契约式, that service providers have such policies and procedures in place; and
  3. 需要, 契约式, 服务提供者审查大学的项目,并向项目管理员报告任何危险信号.
 
员工培训及汇报
负责实施该计划的大学人员应在计划管理员及其指定人员的指导下接受培训, 适当的, 对危险信号的检测, 以及当检测到危险信号时应采取的响应步骤. 适当的工作人员应就身份盗窃事件向项目管理员提供报告, 计划的有效性和大学对计划的遵守情况.
 
 

 

大学政策

阅读更多
校园全景