O que temos aqui é um fracasso em se comunicar … entre outras coisas

Sim, se uma árvore cair na floresta e ninguém está lá para ouvi -la, a árvore faz um som. E, sim, se uma violação de dados acontecer e você não notificar oportunamente os clientes afetados, isso é uma prática injusta. Essa é apenas uma das lições que as empresas podem aprender com o Liquidação proposta pela FTC Com a Global Tel*Link (GTL) e suas subsidiárias, Telmate e Touchpay.

Outra lição? Quando se trata de proteger as informações pessoais dos consumidores, o dever se estende, independentemente de onde os negócios armazenam os dados e o que eles usam para os dados – mesmo testes. Leia para saber mais. A GTL é um dos maiores fornecedores de serviços de comunicação e tecnologia do país para prisões, prisões e instituições similares, fornecendo serviços de comunicação e pagamento para consumidores encarcerados e seus contatos não educadores, incluindo entes queridos. De acordo com a denúncia da FTC, em agosto de 2020, os invasores desconhecidos acessaram as informações de identificação pessoal (“PII”) de centenas de milhares de pessoas que usaram os produtos da GTL quando os dados foram deixados desprotegidos e acessíveis pela Internet. Isso incluiu: Nomes, informações de contato, números de carteira de motorista, números de passaporte, números de seguridade social, cartão de pagamento e informações da conta financeira, mensagens pessoais, informações de saúde e formulários de queixas.

Como isso aconteceu? No processo de Atualizando seu software de pesquisa e análise, a GTL supostamente moveu um banco de dados contendo PII para um ambiente de teste na nuvem. De acordo com os FTCs reclamaçãoGtl Deixou o banco de dados do PII não criptografado e não tomou outras medidas para proteger os dados armazenados no ambiente de teste, como o monitoramento automatizado. Quando a Empreiteiro empregado pela GTL para trabalhar na atualização do software Alterou as configurações de segurança do ambiente de teste, o ambiente – e todo o PII que ele continha – foi deixado acessível pela Internet sem proteção de senha.

Você provavelmente pode adivinhar o que aconteceu a seguir. Uma ou mais pessoas não autorizadas puderam acessar e baixar informações do banco de dados. Um pesquisador de segurança de dados notificou o GTL de que os dados foram expostos–Especificamente, que ele poderia acessar o banco de dados e visualizar o PII sobre os usuários da GTL. Você adivinhou. Em seguida, alguém baixou informações do banco de dados e o disponibilizou na Web Dark. Os consumidores começaram a dizer diretamente à GTL que receberam alertas que suas informações foram encontradas na Web Dark.

Você pode adivinhar o que não acontecer a seguir? De acordo com a denúncia da FTC, pelo menos oito meses passaram onde a GTL e suas subsidiárias não notificaram os clientes afetados. Em vez disso, a FTC alegou que a empresa deturpou seus esforços para fazê -lo e representava falsamente para clientes institucionais em potencial que a GTL não havia experimentado acesso não autorizado aos seus dados.

Quando a GTL e suas subsidiárias finalmente notificaram os consumidores de violação, a FTC alega que eles escolheram notificar apenas uma fração dos usuários afetados de que suas informações foram afetadas, negando centenas de milhares de usuários qualquer oportunidade de tomar medidas de auto-ajuda, como implementar um alerta de fraude ou congelamento de crédito.

Durante anos, a FTC enfatizou para as empresas a importância de ter detecção e resposta eficazes de violação como componentes essenciais de um programa de segurança de dados razoável. Os FTCs povoado Com o GTL e suas subsidiárias ressaltaem esses princípios. Também deixa claro que proteções razoáveis de segurança de dados para proteger os PII dos consumidores se aplicam mesmo quando esses dados estão sendo usados para testar – e exigem que uma empresa invente e rastreia o fluxo das informações pessoais dos consumidores. E, se ocorrer uma violação, as empresas devem notificar prontamente os consumidores sobre o incidente, principalmente ao não fazê -lo, coloca os consumidores afetados em maior risco de danos, como o roubo de identidade.

Você deseja ler a reclamação de seis contagens para obter detalhes sobre como as práticas da GTL supostamente prejudicaram os consumidores. Para resolver o caso, a GTL e suas subsidiárias concordaram em implementar um programa abrangente de segurança da informação com avaliações de terceiros, para fornecer monitoramento de crédito e identidade para os consumidores não notificados anteriormente da violação e notificar os consumidores afetados sobre a violação. O proposto povoado também requer GTL e suas subsidiárias para notificar o FTC eEm primeiro lugar para uma ordem da FTC, os consumidores e as instalações afetadas sobre futuras violações de dados. Finalmente, sob o contrato, a GTL e suas subsidiárias são proibidas de fazer deturpações sobre privacidade, segurança de dados e violações de dados.

Quais são as principais conclusões para o seu negócio?

As empresas devem notificar prontamente os consumidores quando ocorreu uma violação que os coloca em maior risco de danos, como roubo de identidade. O acordo GTL exige que o GTL e suas subsidiárias notificassem a FTC de qualquer violação futura. A ordem proposta adiciona um novo requisito adicional. Sempre que o dever de notificar qualquer agência governamental é desencadeada por uma futura violação de dados, GTL e suas subsidiárias devem Também notifique oportunamente usuários e instalações afetados.

Os requisitos razoáveis de segurança de dados se aplicam, independentemente de onde os negócios armazenam as informações pessoais dos consumidores ou para que elas usam essas informações – incluindo testes. Uma prática recomendada é evitar o uso do PII para testar ou desenvolvimento em primeiro lugar, mas se o uso do PII for inevitável, o PII deve ser protegido na mesma extensão que no ambiente de produção.

As empresas devem inventariar e rastrear o fluxo de PII. Saber quais dados são armazenados onde é fundamental para a capacidade de uma empresa de avaliar quais proteções são necessárias e identificar oportunamente os consumidores que devem ser notificados após qualquer violação.

Source link

O que temos aqui é um fracasso em se comunicar … entre outras coisas

Rui Manuel Oliveira

Musk jura para revelar os deputados que apóiam a ‘grande e bonita Bill’ de Trump | Elon Musk

Rachel Reeves definido para cortar o limite de poupança do Cash ISA – o que significaria que isso significa para você?

Veja os vencedores do fotógrafo de aeronáutica internacional do ano: fotos

As famílias instadas a consertar as contas de energia, pois as previsões revelam quanto você pode ter que pagar em outubro

A Apple Music acabará mostrando as estatísticas ‘o tempo todo’, mas eu tenho uma opção melhor

Musk jura para revelar os deputados que apóiam a ‘grande e bonita Bill’ de Trump | Elon Musk

Solidariedade em Ação: Mais de 40 mil voluntários contribuem para recolhimento de alimentos pelo Banco Alimentar

Novo aumento nos preços dos combustíveis: Confira os valores atualizados

Real I.S. Marca Presença em Portugal com Aquisição de Edifício de Escritórios em Lisboa

Estrangeiros em Portugal Encorajados a Aprender a Falar Português

Invasão de Campistas na Algarve: Residentes Descontentes com o Comportamento dos Turistas

Celtic tem participado da Liga dos Campeões há anos ... agora eles estão competindo nele

Guardiola admite mentir de que a cidade tem apenas '1%' de chance de ver o Real Madrid | Pep Guardiola

Artigos Relacionados

Musk jura para revelar os deputados que apóiam a ‘grande e bonita Bill’ de Trump | Elon Musk

Solidariedade em Ação: Mais de 40 mil voluntários contribuem para recolhimento de alimentos pelo Banco Alimentar

Novo aumento nos preços dos combustíveis: Confira os valores atualizados

Real I.S. Marca Presença em Portugal com Aquisição de Edifício de Escritórios em Lisboa

Estrangeiros em Portugal Encorajados a Aprender a Falar Português

Invasão de Campistas na Algarve: Residentes Descontentes com o Comportamento dos Turistas