A VTech Settlement adverte as empresas a manter os dados cobertos da COPPA seguros

Não podemos garantir sua eficácia em levar as crianças a comer seus vegetais ou terminar a lição de casa. Mas há uma circunstância em que uma mãe ou o pai é “porque eu disse isso. . . . ” é a lei da terra. Quando se trata da coleção on -line de informações pessoais de crianças menores de 13 anos, o Regra de proteção de privacidade online infantil (COPPA) coloca os pais no comando.

Um processo da FTC contra a VTechUm grande nome em produtos de aprendizagem eletrônica para o conjunto de swingset alega que a empresa violou a Coppa e a Lei da FTC, entre outras coisas, não tomando medidas razoáveis ​​para proteger dados sensíveis coletados de crianças. Uma preocupação particular neste caso – o FTC‘A primeira lidação com brinquedos conectados – é a alegação de que as violações da VTech vieram à tona apenas depois que um hacker roubou informações pessoais sobre crianças e pais que usaram os produtos da empresa.

Primeiro, alguns antecedentes. A VTech opera o Learning Lodge, uma plataforma on-line que permite que os clientes baixem aplicativos, jogos, e-books, etc., em seus dispositivos conectados à VTech. Mais de 2 milhões de pais criaram o Learning Lodge contam para quase 3 milhões de crianças. Um aplicativo popular é Kid Connect, que permite que as crianças enviar Mensagens de texto, arquivos de áudio, fotos, etc., para contatos aprovados pela mãe ou pelo pai. Uma vez registrados, as crianças também podem postar mensagens em uma placa de aviso eletrônico acessível às pessoas na lista de contatos com os pais.

De pelo menos julho de 2013 a novembro de 2015, se uma criança quisesse usar o Kid Connect, os pais tiveram que se inscrever no Learning Lodge. As inscrições exigiam muitas informações pessoais: o nome completo do pai, o endereço físico, o email, a senha e as perguntas e respostas secretas para a recuperação de senha, bem como o nome da criança, a data e o ano de nascimento e o sexo. Os pais poderiam então configurar uma conta de conexão infantil enviando um endereço de e -mail, o nome de usuário e a senha dos pais, o nome de usuário de uma criança e uma foto de perfil dos pais e da criança. (Além disso, a VTech ofereceu uma plataforma baseada na Web chamada Planet VTech. Também exigia que os pais enviassem uma quantidade substancial de informações pessoais, incluindo o primeiro nome da criança, o nome de login, a senha e a data completa do nascimento.)

Onde a FTC alegou que a VTech deu errado? Primeiro, a Política de Privacidade da VTech disse que, quando os pais inseram informações pessoais como parte do processo de registro para o aprendizado da Loja, Kid Connect ou Planet VTech, “na maioria dos casos”, que as informações “serão transmitidas criptografadas para proteger sua privacidade usando a tecnologia de criptografia HTTPS. ” Mas, de acordo com a FTC, os dados não foram criptografados, renderizando a afirmação da VTECH falsa sob a Lei da FTC.

O reclamação Também cobra a VTech por violar disposições específicas da COPPA. De acordo com a FTC, a VTech não notificou o site sobre as informações que coleta das crianças, como ele usa essas informações e suas práticas de divulgação. Além disso, a VTech não forneceu um aviso direto de suas políticas aos pais.

O processo também alega que, quando as pessoas criam uma conta de conexão infantil, a VTech não tinha um mecanismo compatível com a COPPA para verificar se a pessoa que registra a conta era pai e não uma criança.

Finalmente, Seção 312.8 da regra exige que empresas cobradas pela COPPA como a VTech “estabeleçam e mantenham procedimentos razoáveis ​​para proteger a confidencialidade, a segurança e a integridade das informações pessoais coletadas de crianças”. No entanto, neste caso, um hacker conseguiu acessar remotamente o ambiente de teste da VTech e a partir daí ganhou entrada no site ao vivo. Foi aí que o hacker agarrou os nomes completos dos pais, endereços, endereços de e -mail, perguntas secretas e nomes de usuário das crianças – todos armazenados em texto claro e legível. Embora a VTech armazenasse senhas e fotos infantis e arquivos de áudio em um formato criptografado, um banco de dados acessado pelo hacker incluiu as chaves de descriptografia para fotos e áudio.

Além disso, a FTC diz que as informações foram armazenadas para que as informações das crianças fossem vinculadas às informações de seus pais. Por exemplo, isso significava que, se uma criança tivesse enviado uma foto através do Kid Connect, o hacker poderia ter encontrado essa foto, junto com o endereço residencial da criança. De acordo com a denúncia, a VTech não sabia que as informações pessoais haviam sido copiadas de sua rede até que a empresa fosse contatada por um jornalista.

Além de uma penalidade civil de US $ 650.000, o liquidação proposta Inclui procedimentos para garantir a conformidade futura da COPPA. Uma provisão notável: um programa abrangente de segurança de dados sujeito a auditorias independentes a todos os anos nos próximos 20 anos.

Os casos são específicos de fatos, é claro, mas vale a pena dar uma olhada em onde a FTC alega que as práticas de segurança da VTech ficaram aquém. Cada uma das alegações de reclamação aponta para um princípio de segurança estabelecido que as empresas cobertas de COPPA-e outras empresas-devem considerar a avaliação de seus próprios procedimentos.

• A denúncia alega que a VTech não desenvolveu, implementou e manteve um programa abrangente de segurança da informação. Se o programa da sua empresa for escondido em um arquivo em algum lugar, lembre -se de que a COPPA torna a segurança um processo de “vida”. Pode ser hora de revisitar seu programa à luz das mudanças nos seus negócios e no cenário de ameaças em evolução.
• A denúncia alega que a VTech não conseguiu implementar medidas adequadas para segmentar e proteger seu site ao vivo do ambiente de teste. Essa preocupação deve soar familiar para as empresas que seguiram os FTCs Comece com segurança e Fique com a segurança iniciativas. A segmentação de rede eficaz pode ajudar a impedir que um “OOPS” se transformasse em um “UH-OH” completo.
• A denúncia alega que a VTech não conseguiu um sistema de detecção de intrusões. Se o alarme do ladrão disparasse em sua casa ou local de trabalho, você mudaria para o alerta alto. Há anos, casos e orientações da FTC para empresas sugerem uma resposta semelhante ao acesso à rede não autorizado. As empresas cuidadosas têm um sistema para avisá -los sobre invasores digitais.
• A denúncia alega que a VTech não monitorou tentativas não autorizadas de exfiltrar as informações pessoais. Você saberia se um intruso estava tentando uma busca na sua rede? Existem ferramentas que podem alertá -lo quando alguém está tentando transferir grandes quantidades de dados.
• A queixa alega que a VTech falhou Para concluir os testes de vulnerabilidade e penetração, para ver como sua rede poderia enfrentar vulnerabilidades conhecidas, como a injeção de SQL. Não há como fazer uma rede 100% à prova de hackers, mas como Comece com segurança e Fique com a segurança Sugira, há etapa que você pode dar para proteger dados confidenciais de antigos, mas baddies, como ataques de injeção de SQL.
• A denúncia alega que a VTech não conseguiu implementar orientações ou treinamento razoável para seus funcionários. As empresas conscientes da segurança têm uma arma secreta na luta para proteger dados sensíveis: um poço-Força de trabalho teriada. Se sua empresa está ou não pela COPPA, você incorporou a segurança em toda a sua empresa? Seus funcionários estão claros sobre suas expectativas?

A FTC possui recursos para otimizar seus esforços de segurança de dados e conformidade da COPPA. O tempo é um prêmio? Separe alguns minutos por dia para assistir a um de nossos vídeos para empresas.