管理规则编号:5090-01

相关政策系列编号:5090

标题:身份盗窃预防程序

目的
建立身份盗窃预防计划. 该程序旨在检测, 防止和减轻身份盗窃. 这条规则适用于大学账户或程序 哪一个:

  1. allow a person to register, receive financial aid, make payments, or be employed by the 大学; or
  2. 存在身份盗窃的“合理可预见的风险”.

声明
The college hereby establishes an 身份盗窃 prevention program to detect, prevent, 减少身份盗窃. 该计划包括以下程序:

  1. identify red flags for covered records 和 incorporate those red flags into 这个项目;
  2. 检测已纳入程序的危险信号;
  3. respond appropriately to any detected red flags to prevent 减少身份盗窃; 和
  4. update 这个项目 periodically to reflect changes in risks to students 或雇员s 并确保学院的安全和健全免受身份盗窃.

定义

  1. 覆盖帐户
    1. a record that the college offers or maintains primarily for registration, financial aid, accounts receivable or payable, or employment; 和
    2. any other record that the college offers or maintains for which there is a reasonably foreseeable risk 身份盗窃 to the person or a risk to the safety 和 soundness of the college's records, including financial, operational, compliance, reputation, 或者诉讼风险.
  2. 身份盗窃

    Fraud committed or attempted using the identifying information of another person without 权威.

  3. 红旗

    A pattern, practice, or specific activity that indicates the possible existence of 身份盗窃.

  4. 识别信息
    Defined as government data, the disclosure of which would likely substantially jeopardize 识别信息的安全性.

项目管理

  1. 监督

    Responsibility for developing, implementing, 和 updating this program lies with the college's vice president of finance 和 operations 和 the Identity Theft Committee. 副总统将指定一名项目管理员. 委员会将组成 of:

    1. 招生服务处处长
    2. 人力资源总监
    3. 新闻处处长
    4. 财政援助助理主任
    5. 会计和预算主管
    6. 学院进修主任
    7. 安全和防损主管
  2. 项目管理员和委员会将负责:
    1. 项目资源和策划;
    2. 确保对学院员工进行适当的培训;
    3. 审核员工关于红旗检测和身份盗窃的报告 缓解和预防;
    4. determining which steps of prevention 和 mitigation should be taken in particular circumstances commensurate with the risk posed; 和
    5. 考虑定期更改程序.

The program administrator 和 committee will review 和 update this program annually to reflect changes in risks to students 或雇员s 和 the soundness of protection 身份盗窃的大学记录. 在这样做时,程序管理员和 committee will consider the college's experience with 身份盗窃 situations, changes in 身份盗窃 methods, changes in 身份盗窃 detection 和 prevention methods, 以及学院与其他实体的业务安排的变化. 在考虑 these factors, including the degree 身份盗窃 risk posed, 这个项目 administrator 而委员会将决定是否对该计划进行修改,包括上市 新的危险信号,是有理由的. 如有必要,项目管理员和委员会 will update 这个项目 or present College Council with recommended changes, 和 they 将决定是否接受、修改或拒绝这些更改 这个项目.

部门主管有责任熟悉这个项目. 部门 负责人应每年与员工会面,评估当前的合规情况. 员工负责 for implementing 这个项目 will be trained by or under the direction of the committee. Staff will provide timely reports to the committee on all incidents 身份盗窃 或者出现危险信号.

识别危险信号
In order to identify red flags, the college considers the types of records it maintains, 它用来打开和访问记录的方法,以及它以前的经验 身份盗窃. 学院已经确定了以下危险信号在每一个 列出的类别:

  1. 信用报告或背景调查机构的通知和警告
    1. 红旗
      1. 附信用报告或背景报告的欺诈报告;
      2. notice or report from a credit agency of a credit freeze on a student, 员工, or 申请人;
      3. notice or report from a credit agency of an active duty alert for an 申请人; or
      4. 信用报告显示的活动与学生的不一致 或员工的日常模式或活动.
  2. 可疑的文件
    1. 红旗
      1. 识别看似伪造、变造或不真实的信息;
      2. 一个人的照片或身体描述所依据的信息 与出示单据的人不一致的;
      3. other document with information that is inconsistent with existing student 或雇员 information (such as if a person's signature on a check appears forged); or
      4. 申请表被涂改或伪造的.
  3. 可疑的个人识别信息
    1. 红旗
      1. 识别信息与学生呈现的其他信息不一致 或雇员提供(e).g.出生日期不一致);
      2. identifying information presented inconsistent with other sources of information ( e.g.(与档案地址不匹配的);
      3. identifying information presented that is the same as information shown on other applications 被发现有欺诈行为的;
      4. 识别与欺诈活动相一致的提交信息(例如.g., 无效的电话号码或虚构的帐单地址);
      5. 出示的社会安全号码与另一名学生出示的号码相同 或员工;
      6. failure to provide complete personal identifying information on an application when reminded to do so; or
      7. 识别与学生档案信息不一致的信息 或雇员.
  4. 可疑活动或异常使用帐户
    1. 红旗
      1. 更改记录的地址,随后要求更改记录持有人的地址 名称;
      2. 发送给记录保持者的邮件多次被退回为无法投递;
      3. 通知学院,学生或员工没有收到学校发送的邮件 大学;
      4. 通知学院一个帐户有未经授权的活动;
      5. breach in the college computer system security; or
      6. 未经授权访问或使用学生或员工帐户信息.
  5. 来自他人的提醒
    1. 红旗
      1. notice to the college from a student 或雇员, 身份盗窃 victim, law enforcement, 或者其他学校已经开设或正在保持虚假记录的人 一个从事身份盗窃的人.

检测危险信号

  1. 新记录

    In order to detect any of the red flags identified above associated with a new record or which presents a foreseeable risk 身份盗窃, college personnel will take the following steps to obtain 和 verify the identity of the person or business opening 帐户:

    1. 需要某些识别信息,包括:
      1. 全名;
      2. 出生日期(个人);
      3. previous 和 current residential or business address; 和
      4. 识别.
        1. U.S. 公民
          • (a) social security number; 和/or
          • (b)须附有相片的文件(正本),例如:
            • state-issued driver's license; or
            • state-issued 识别 card; or
            • 美国护照.
        2. 班.S. 公民
          • (a) social security number; 和/or
          • (b)须附有相片的文件(正本),例如:
            • state-issued driver's license; or
            • state-issued 识别 card; or
            • passport from any country; or
            • documents containing an alien 识别 number 和 country of issuance; or
            • any other photo-bearing government-issued document evidencing nationality or residence.
    2. Review all documentation for red flags; 和/or independently contact the student or 员工.
  2. 现有记录

    In order to detect any of the red flags identified above for an existing record, personnel 会采取以下步骤来监控事务吗. 学院人员有自由裁量权 确定所构成的风险程度并采取相应的行动.

    1. verify person's identifying information if a person requests any information on the 记录(可亲自、电话、传真或电子邮件);
    2. verify the validity of requests to change address; 和
    3. 核实为支付目的而提供的银行信息的更改.

防止和减轻身份盗窃
为了进一步防止身份被盗的可能性,人员将采取 the below steps, commensurate with the degree of risk posed, regarding ongoing internal 操作程序. 学院人员有权决定学位 并采取相应的行动.

  1. 确保其网站是安全的,或提供明确的通知,说明网站是不安全的 安全.
  2. Ensure complete 和 安全 destruction of paper documents 和 computer files containing 一个人的身份信息.
  3. 确保办公室电脑有密码保护.
  4. 保持办公室远离包含个人信息的文件.
  5. 确保电脑病毒防护是最新的.
  6. 只要求和保留商业目的所必需的信息.
  7. Transmit identifying information using only approved methods, 和 include the following 关于任何传送的识别资料的声明:
    This message may contain confidential 和/or proprietary information, 和 is intended 对于其最初所针对的个人/实体. 如果你收到了这个 邮件错误,请联系学院,然后删除原始文件. 严禁他人使用.
  8. Do not use or post a person's social security number as an account identifier or on any other documents unless requested by the person or required by federal law (such 如W-2表格).
  9. 当你发现危险信号时应该采取的步骤
    如果学院工作人员发现了危险信号,他们将采取一个或多个 below steps, commensurate with the degree of risk posed, to prevent 和 mitigate risk 身份盗窃.

    学院人员有权决定学位 of risk posed 和 act 相应的.

    1. 继续监控账户,寻找身份盗窃的证据;
    2. 通过书面通知或电话与当事人联系;
    3. 拒绝开立新帐户;
    4. 关闭现有帐户;
    5. 用新号码重新开户;
    6. notify 这个项目 administrator for determination of the appropriate step(s) to take based on the Oregon Identity Theft Act Best Practices; or
    7. 确定在特定情况下无需作出回应.

服务提供者安排
In the event the college engages a service provider to perform an activity in connection 对于有保障的账户,学院将采取以下步骤之一来确保 服务提供者按照程序执行:

  1. Require, by contract, that service providers have appropriate policies 和 procedures 在适当的地方设计,以检测,防止和减轻身份盗窃.
  2. Require, by contract, that service providers review this program 和 report any red 标志程序管理员.
  3. Require that contracts include indemnification provisions limiting the college's liability 服务提供商未能检测、防止或减轻身份盗窃.

不披露具体做法
披露有关危险信号识别的具体信息或做法; detection, mitigation, 和 prevention practices may be limited to designated college 工作人员和/或政策制定者. 为开发或实施程序而产生的文件 which describe specific practices may constitute security information 和 may be non-disclosable 因为披露可能会危及身份信息的安全 而且可能会绕过学院的身份盗窃预防措施.

收养日期:4/13/09
修订日期:12/1/16
DATE OF LAST REVIEW: 12/1/16; 1/7/21