Para citar o famoso malaprop do chefe do estúdio, Samuel Goldwyn, um contrato oral não vale o papel em que está impresso. O mesmo pode ser dito de uma política de segurança escrita se uma empresa não cumprir as suas disposições. Uma proposta de acordo da FTC com uma empresa de tecnologia do Texas alega que a empresa criou uma política escrita de “Gerenciamento de risco de fornecedores terceirizados” como parte de suas obrigações sob a Gramm-Leach-Bliley Regra de salvaguardasmas não garantiu que as políticas descritas no documento fossem realmente implementadas. O resultado: o uso inseguro de armazenamento baseado em nuvem por um fornecedor terceirizado levou à violação de informações altamente confidenciais do consumidor.
A Ascension Data & Analytics fornece serviços de tecnologia relacionados a hipotecas para outras empresas de sua família corporativa. Em 2017, uma empresa afiliada contratou a Ascension para fornecer serviços relacionados com a devida diligência para hipotecas residenciais – tudo, desde a construção de sistemas para armazenamento de documentação hipotecária até análises de conformidade relacionadas com originações de empréstimos.
Para ajudar a cumprir essas responsabilidades, a Ascension contratou uma empresa não afiliada para digitalizar milhares de documentos hipotecários. Os pedidos de hipoteca são uma mina de ouro de informações altamente confidenciais e normalmente incluem as declarações fiscais do solicitante, data de nascimento, número do Seguro Social e números de cartão de crédito e débito – praticamente tudo, menos o tipo sanguíneo e o sabor favorito de sorvete.
Então essa é a configuração. A Ascension possuía dados confidenciais de clientes, que foram entregues a um provedor de serviços terceirizado. Antes de perguntarmos o inevitável “O que poderia dar errado?” questão, vamos nos voltar brevemente para os requisitos da Regra de Salvaguardas.
Primeiro, o quem do Regra de salvaguardas. A Regra se aplica a “instituições financeiras”, um termo amplo que pode incluir processadores de dados, consultores de investimentos, empresas de liquidação imobiliária e uma ampla variedade de outras entidades.
Agora, o que acontece com a Regra de Salvaguardas. A Regra exige que as instituições cobertas protejam a segurança, a confidencialidade e a integridade das informações dos clientes, desenvolvendo, implementando e mantendo um programa escrito de segurança da informação apropriado ao tamanho e complexidade da empresa, à natureza de suas atividades e à natureza das informações. Entre outras coisas, isso inclui:
- Designar funcionários para coordenar o programa;
- Identificar riscos razoavelmente previsíveis para a segurança das informações do cliente;
- Projetar e implementar salvaguardas para controlar esses riscos, testando as salvaguardas regularmente e monitorando sua eficácia;
- Supervisionar os prestadores de serviços, tomando medidas razoáveis para selecionar prestadores capazes de manter salvaguardas adequadas e implementar essas salvaguardas nos contratos; e
- Ajustar o programa à luz de testes e monitoramento, mudanças nas operações comerciais e outras circunstâncias.
Agora, de volta à Ascensão e àquela montanha de documentos hipotecários confidenciais. Desde pelo menos julho de 2016, a Ascension tinha uma política de “Gerenciamento de risco de fornecedores terceirizados” que pretendia descrever a devida diligência que a equipe designada da Ascension deveria realizar para avaliar possíveis fornecedores. Você vai querer ler o reclamação para obter detalhes, mas a FTC alega que a empresa não tomou essas medidas. Além disso, embora os contratos da Ascension com prestadores de serviços incluíssem uma referência fugaz de que “qualquer informação pessoal não pública. . . serão protegidos de divulgação com todas as disposições da Lei Gramm-Leach-Bliley”, a cláusula não ofereceu quaisquer detalhes.
A FTC afirma que em fevereiro de 2017, a Ascension contratou essa empresa para digitalizar documentos hipotecários sem verificar a segurança do prestador de serviços. De acordo com a denúncia, o provedor armazenou os documentos em um servidor baseado em nuvem e em um local de armazenamento separado baseado em nuvem, mas configurou incorretamente tanto o servidor quanto o local de armazenamento, deixando expostas as informações confidenciais de dezenas de milhares de consumidores. Como o provedor de serviços nem mesmo usou uma senha, os documentos da hipoteca tornaram-se um bufê à vontade para qualquer pessoa que tivesse o endereço do servidor na Internet ou o local de armazenamento. As informações permaneceram desprotegidas até cerca de janeiro de 2019, quando os meios de comunicação informaram que as informações estavam disponíveis publicamente online.
A contagem única reclamação alega que a Ascension violou a Regra de Salvaguardas ao não supervisionar os prestadores de serviços, ao não identificar riscos razoavelmente previsíveis para a segurança das informações dos clientes e ao não avaliar a suficiência de quaisquer salvaguardas. Além de cumprir a Regra de Salvaguardas no futuro, a empresa concordou em receber avaliações de segurança de terceiros a cada dois anos. Ele também deve fornecer uma certificação anual de um gerente corporativo sênior de que está cumprindo a ordem da FTC e não está ciente de nenhuma não conformidade material. Se a Ascension sofrer um incidente de segurança que exija a notificação de uma agência governamental, ela também deverá notificar a FTC. Uma vez que acordo proposto aparecer no Federal Register, você terá 30 dias para registrar um comentário público.
O que outras empresas podem aprender com este caso?
Colocar seu programa de segurança da informação no papel é o começo, não o fim. O problema com muitos programas que as empresas desenvolvem em resposta à Regra de Salvaguardas é que eles passam muito tempo em uma pasta de arquivos e não têm tempo suficiente em mente. O caminho mais sensato é reavaliar regularmente para garantir que o que está em seu programa – por exemplo, procedimentos relativos ao treinamento de funcionários, contratação de terceiros e monitoramento – seja executado em suas operações diárias.
Verifique seus fornecedores. Quando se trata de segurança, antes de selecionar fornecedores, certifique-se de que os possíveis provedores de serviços estejam à altura da tarefa. Faça perguntas sobre como eles irão lidar e proteger seus dados e insista em obter informações sobre seus próprios programas de segurança. Depois de estabelecer um provedor de serviços, não basta configurá-lo e esquecê-lo. Peça atualizações. Além disso, ao realizar suas próprias avaliações de risco regulares, pense em quaisquer riscos que seus provedores de serviços apresentem à sua empresa e às informações de seus clientes e certifique-se de ter controles em vigor para lidar com esses riscos.
Explique suas expectativas. Os profissionais de segurança evitam termos contratuais pro forma. Evite disposições padronizadas e, em vez disso, inclua proteções e procedimentos de monitoramento projetados especificamente para o trabalho que os provedores de serviços farão por você.
Mantenha a segurança adequada na nuvem. “É seguro armazenar coisas na nuvem?” Os especialistas são muito questionados sobre isso, mas as pessoas podem estar fazendo a pergunta errada. Quer você mantenha dados em um provedor de serviços de nuvem ou em um arquivo de escritório, a consideração mais importante é o que você faz para protegê-los. As empresas experientes aproveitam as opções de segurança oferecidas pelos provedores de nuvem e tomam cuidado especial para definir as configurações corretamente e verificá-las regularmente. Para obter mais informações, leia Seis etapas para uma computação em nuvem mais segura.