O acordo de Wyndham com a FTC: o que isso significa para as empresas – e consumidores
Vigilantes da segurança de dados lêem com juros a decisão do Tribunal de Apelações dos Estados Unidos no início deste ano em FTC v. WyndhamDefender a autoridade da FTC de desafiar as práticas de segurança de dados supostamente prejudicadas sob o ponto de injustiça da Lei FTC. Vemos que a decisão como uma vitória marcante para os consumidores e empresas de todos os tamanhos comprometidos em manter as informações pessoais dos clientes seguras. Agora há outro grande desenvolvimento na ação da aplicação da lei da FTC contra Wyndham E você vai querer estar entre os primeiros a saber.
Apenas para recapitular, a FTC processou Wyndham e três subsidiárias em 2012, alegando que as falhas de segurança de dados levaram a três violações em menos de dois anos. De acordo com a denúnciaOs hackers se infiltraram na rede de um franqueado Wyndham e depois exploraram a LAX Security na rede corporativa de Wyndham para obter dados sensíveis ao consumidor de dezenas de outros franqueados Wyndham. Essas violações resultaram na transferência de dados da conta sobre centenas de milhares de consumidores para um site registrado na Rússia – e milhões de dólares de cobranças fraudulentas sobre cartões de crédito e débito dos consumidores. O tribunal distrital decidiu que a FTC teve autoridade para desafiar a conduta de Wyndham sob a Lei da FTC. O Terceiro Circuito ouviu um apelo imediato dessa questão legal e governado a favor da FTC.
Hoje, a FTC e Wyndham anunciaram um acordo proposto no caso. Você deseja ler o pedido para obter os detalhes, mas confira estas disposições de nota.
De acordo com a Parte I da Ordem Proposta, a Companhia deve estabelecer um programa abrangente de segurança da informação para proteger os dados do titular do cartão, incluindo números de cartões de pagamento, nomes e datas de validade, e deve realizar auditorias anuais de segurança da informação relacionadas todos os anos nos próximos 20 anos.
Além disso, o pedido exige que Wyndham considere especificamente os riscos decorrentes das conexões de rede entre os hotéis da marca Wyndham e o Data Center corporativo. A FTC vê isso como uma provisão essencial porque as violações alegadas na denúncia surgiram das fraquezas nessas conexões.
A Parte II do pedido exige que a Wyndham obtenha uma avaliação independente anual sob o padrão de segurança de dados de dados do setor de cartões de pagamento – a maioria das empresas o conhece como PCI DSS – um padrão do setor para entidades que aceitam cartões de crédito. Mas não termina aí. A Parte II inclui disposições adicionais para reforçar o que é necessário no PCI DSS. Essas disposições adicionais incluem a exigência de um auditor independente de terceiros para certificar que:
- Wyndham protege as conexões com seus hotéis franqueados;
- Wyndham se envolve em uma avaliação abrangente de risco, conforme estabelecido nas diretrizes de avaliação de risco do PCI-DSS; e
- O auditor é realmente independente de Wyndham.
Se a avaliação independente exigida pela Parte II estabelecer que o Wyndham esteja em plena conformidade, a FTC considerará que ele estará em conformidade com o programa abrangente de segurança da informação exigido pela Parte I também. Todas as apostas estão desativadas, no entanto, se Wyndham, de alguma forma, enganar o auditor ou mudar significativamente o sistema após a auditoria.
Qual é o legado de FTC v. Wyndham? Primeiro, a decisão do Tribunal de Apelações Afirma o uso da Seção 5 pela FTC para desafiar práticas irracionais de segurança de dados. Segundo, as lições deste caso-e os mais de 50 outros acordos de segurança de dados da FTC-oferecem orientação a outras empresas sobre a criação de segurança sensata em suas operações diárias.
A FTC possui recursos gratuitos para ajudar as empresas a começar com a segurança.
