I-Dressup e uma bagunça de segurança de dados

As crianças gostam de brincar de vestir-se, mas os pais não gostariam que elas vasculhassem o sótão ou subam para a prateleira superior do guarda-roupa sem permissão e supervisão adequada. O site i-dressup.com ofereceu aos usuários-incluindo crianças-uma maneira virtual de jogar roupas de vestir e design sem esses perigos em potencial. Mas De acordo com uma queixa da FTC, a Unixiz, Inc.A empresa por trás da I-Dressup violou a Lei de Proteção à Privacidade Online das Crianças de maneiras que criaram diferentes tipos de riscos.

A Coppa coloca dois conjuntos separados de proteções para ajudar a manter os pais no controle de informações pessoais coletadas de seus filhos online. Primeiro, as empresas cobertas de COPPA devem divulgar claramente suas políticas de informação e obter o consentimento dos pais antes de coletar informações pessoais de crianças menores de 13 anos. As empresas devem fornecer segurança razoável e apropriada para os dados que coletam. De acordo com um acordo da FTC, o i-Dressup ficou aquém dos dois requisitos da COPPA.

O reclamação As alegações de I-Dressup não forneceram um aviso suficiente no site das informações coletadas on-line das crianças, como a usou, suas práticas de divulgação e outros detalhes exigidos pela regra da COPPA. Os avisos diretos da empresa para os pais também eram deficientes. Entre outras coisas, eles não incluíram a declaração exigida por Coppa de que, se os pais não fornecerem consentimento dentro de um tempo razoável, a i-Dressup excluirá suas informações de contato on-line de seus registros. Fique com a história porque esse fracasso acabou sendo particularmente preocupante.

Além de permitir que os usuários joguem jogos on-line, o i-Dressup apresentou uma comunidade onde eles poderiam “explorar sua criatividade e senso de moda com perfis pessoais exclusivos” e interagir com os outros. Para se registrar, o I-Dressup exigiu que as pessoas enviassem um nome de usuário, senha, data de nascimento e endereço de email. Se a data de nascimento indicava que a pessoa tinha menos de 13 anos, o campo de e -mail alterou para “e -mail dos pais”. Depois que o usuário sub-13 preencheu os campos necessários e clicou “ingressar agora”, o i-Dressup coletou as informações pessoais e enviou uma mensagem para o endereço inserido no campo de email do pai. A pessoa que recebe o e -mail pode consentir clicando no “Ativar agora!” botão.

No entanto, se os pais não deram consentimento, a i-Dressup manteve as informações pessoais que haviam coletado da criança online. A FTC diz que a falha da empresa em excluir essas informações violou Seção 312.5 (c) (1) da regra de Coppa.

Além de violar as disposições de consentimento dos pais da Coppa, I-Dressup supostamente violou a regra Requisitos de segurança de dados. De acordo com a FTC, I-Dressup armazenou e transmitiu as informações pessoais dos usuários (incluindo senhas) em texto simples. Além disso, a empresa não conseguiu realizar testes de vulnerabilidade de rede de sua rede, mesmo para ameaças conhecidas como ataques de SQL; Não implementou um sistema de detecção e prevenção de intrusões; E não monitorou possíveis incidentes de segurança. O resultado? A empresa descobriu que um hacker havia entrado em sua rede e acessou informações sobre 2,1 milhões de usuários, incluindo aproximadamente 245.000 usuários que indicaram que tinham menos de 13 anos.

Para resolver o casoA I-Dressup e seus proprietários pagarão uma penalidade civil de US $ 35.000. Eles também estão proibidos de violar a COPPA no futuro e não podem vender, compartilhar ou coletar informações pessoais até que implementem um programa abrangente de segurança de dados e obtenham avaliações bienais independentes. Além disso, eles terão que fornecer à FTC uma certificação anual de conformidade.

A mensagem para sites e operadores cobertos pela COPPA é que um sistema eficaz de consentimento dos pais é apenas o primeiro passo para a conformidade. Seção 312.8 da regra da COPPA também exige que você “estabeleça e mantenha procedimentos razoáveis ​​para proteger a confidencialidade, a segurança e a integridade das informações pessoais coletadas de crianças”.

Interessado em problemas de segurança de dados? Leia um acompanhante Declaração da Comissão e aprender mais sobre Outra ação da FTC anunciada hoje.