New ISO standard will help safeguard privacy of financial data in computer systems

A new ISO standard will help to safeguard the privacy of people's financial data when being processed by automated, networked information systems.

ISO 22307:2008, Financial services – Privacy impact assessment, defines a methodology to help organizations in private and public sectors identify privacy issues and mitigate risks associated with processing the financial data of customers and consumers, business partners and citizens.

Rapid advances in the performance of computer systems and networking, along with a lowering of their cost, allow financial institutions to record, store and retrieve vast amounts of data faster and more efficiently than ever before. Advanced data processing, storage, collection, and retrieval technology is now available to all sectors of business and government.

With these new abilities, private and public sector organizations can effortlessly process information in ways that, intentionally or unintentionally, may impinge on the privacy rights of their stakeholders. These capabilities raise concerns about the privacy of individuals in large networked information technology environments.

“The financial services community recognizes how important it is to protect and not abuse their customers’ privacy, and not just because it may be required by law,” says Mr John M. Ferris, Convenor of ISO/TC 68/SC 7's working group WG 5, Privacy impact assessment standard. “As systems are developed or updated, there is an opportunity to enhance business processes and to provide improved services to customers. However, new ways of using existing technology and new technologies also bring new or unknown risks. It is advisable that corporations handling financial information be proactive in protecting and not abusing the privacy of their consumers and partners.

“One way of proactively addressing privacy principles and practices is to follow a standardized privacy impact assessment process for a proposed financial system, such as the one recommended in ISO 22307.”

The standard describes the privacy impact assessment (PIA) which should be carried out at an early stage in the development of a proposed financial system. As well as helping to identify optimal privacy options and solutions, it provides a way to ensure that the system complies with applicable laws and regulations governing customer and consumer privacy.

It is a tool that, when used effectively, can identify risks associated with privacy and help organizations plan to mitigate those risks. ISO 22307: 

describes the PIA process in general 

defines the common and required components of a privacy impact assessment, regardless of business systems affecting financial institutions, and 

provides informative guidance, including frequently asked questions (FAQs) on PIAs and their implementation, together with a number of questionnaires designed to help users assess their needs and develop an effective PIA.

Bearing in mind that the legal framework for privacy protection differs from country to country, this internationally agreed standard on privacy impact assessments is an important step forward. The internationalization of PIAs is critical for global banking and, in particular, for cross-border financial transactions.

ISO 22307:2008, Financial services – Privacy impact assessment, was developed by ISO technical committee ISO/TC 68, Financial services, subcommittee SC 7, Core banking. It costs 114 Swiss francs and is available from ISO national member institutes (see the complete list with contact details) and from ISO Central Secretariat through the ISO Store or by contacting the Marketing & Communication department (see right-hand column).

Congo and Chad join the IEC Affiliate Country Programme

2008-6-12  from: IEC

Geneva, Switzerland, 2008-06-12 – Two new countries have joined the growing number of countries participating in the International Electrotechnical Commission (IEC), the world’s leading organization that prepares and publishes International Standards for all electrical, electronic and related technologies and that manages global conformity assessment schemes. Congo and Chad have joined the IEC Affiliate Country Programme, which brings developing countries into the work of the Commission.

For both countries, the IEC Affiliate Country Programme is a first step towards international standardization. And for both countries the African Electrotechnical Standardization Commission (AFSEC) was the link that facilitated contacts with the IEC.

The AFSEC/UPDEA (Union of Producers, Transporters and Distributors of Electric Power in Africa) forum in Cape Town, South Africa, in May 2007, for Chad, the AFSEC inaugural meeting in Accra, Ghana, in February 2008, for the Republic of Congo, were opportunities for these countries’ representatives to meet with the IEC Affiliate Country Programme Secretary, who invited them to join the Programme. Further contacts were established during World Trade Organization (WTO) meetings, leading to a formal commitment from both countries in June 2008. Prior to joining the Programme, the Republic of the Congo set up its own national standardization body, ACONOR.

Republic of the Congo 

The Republic of the Congo, also called Congo Brazzaville, is located in Western Africa, bordering the South Atlantic Ocean, between Angola and Gabon, two countries already affiliated to the IEC. The country’s natural resources include petroleum, timber, potash, lead, zinc, uranium, copper, phosphates, gold, magnesium, natural gas, and hydropower. With a population estimated at more than 3,9 million, the electricity consumption was 5,272 billion kWh in 2005 for a production of 7,341 billion kWh. The country exports electricity and oil.

The Republic of the Congo has chosen the IEC as a starting point for ACONOR to get involved in international standardization activities.

Contact details for the Republic of the Congo:

Association Congolaise de Normalisation

ACONOR

BP 665

3 Boulevard du Général de Gaulle

Pointe Noire

Congo

Tel: +242 666 3674

Chad 

Located in central Africa, south of Libya – a country that recently upgraded its IEC Affiliate status to full membership – Chad is a large land of 1 284 million square km. The country's natural resources include petroleum, uranium, natron (a mineral form of hydrated sodium salts) and kaolin, a sort of fine soft white clay used for making porcelain. The total oil reserves have been estimated to be 1.5 billion barrels. Oil production started in late 2003 and Chad began to export oil in 2004. With an electricity consumption of 88,35 million kWh (2005) for a production of 95 million kWh (2005) and a population estimated at more than 10 million, Chad is self-sufficient.

The country is a member of the WTO and has chosen the IEC as a starting point to get involved in international standardization in order to comply with the WTO Technical Barriers to Trade Agreement.

Contact details for Chad: 

Ministère du Commerce, de l'Industrie et de l'Artisanat

Direction de la Concurrence et du Contrôle des Prix

BP 424

N'Djamina

Chad

About the IEC Affiliate Country Programme

Launched in 2001, the IEC Affiliate Country Programme is aimed at developing and newly-industrializing countries around the world. The Programme offers such countries a form of participation in the IEC without the financial burden of actual membership, making full use of IEC 100% electronic environment. The Affiliate Country Programme has three principal aims: 

To encourage greater awareness and use of IEC international standards in developing countries; 

To help those countries understand and participate in the work of the IEC; and 

To facilitate the adoption of IEC International Standards as national standards. 

The IEC Affiliate Country Programme enables a country to participate in the IEC and benefit from that affiliation in a variety of ways. Affiliates will be able to use relevant IEC international standards and learn how to monitor relevant technical work in the technical committees, thereby taking a step by step approach to establishing an IEC National Electrotechnical Committee, if and when appropriate.