Quando os provedores de serviços de terceiros são parte de dados confidenciais

Os empresários usam muitos chapéus. Além de comercializar seus produtos, eles são responsáveis ​​por funções operacionais como inventário, pedidos e proteção dos dados do cliente. Em vez de gerenciar todo esse moinho, algumas empresas recorrem a provedores de serviços de terceiros para executar as coisas nos bastidores. Mas que medidas estão tomando para garantir as informações confidenciais do consumidor em sua posse? Essa é uma questão levantada pelo acordo proposto pela FTC com os sistemas de Infotrax, com sede em Utah.

O Infotrax fornece sistemas de operações e ferramentas de distribuidores on -line para o setor de vendas diretas. Os profissionais de marketing de vários níveis se contratam com o Infotrax para executar seus portais da web. Através desses portais, as pessoas se registram no MLMS como distribuidores, inscrevem novos distribuidores e fazem pedidos para si e para os consumidores que compram deles.

Essas transações envolvem grandes quantidades de dados confidenciais-nomes completos, cartões de crédito e débito com datas de validade e números de CVV de três dígitos, dados da conta bancária, números de segurança social, IDs de usuário e senhas etc. Vamos ficar claros: não estamos falando de um nome aqui ou um número de conta lá. Em setembro de 2016, a Infotrax armazenou informações pessoais de aproximadamente 11,8 milhões de consumidores. Mas, de acordo com a denúncia, o Infotrax se envolveu em uma série de falhas de dados que criaram vulnerabilidades em sua rede, fraquezas que permitiram acesso não autorizado a informações confidenciais do consumidor. Entre outras coisas, a FTC alega que:

  • O Infotrax não conseguiu realizar a revisão adequada do código e o teste de penetração para avaliar os riscos cibernéticos;
  • O Infotrax não tomou precauções para detectar uploads maliciosos de arquivos;
  • O Infotrax não conseguiu limitar adequadamente, onde em seus terceiros de rede poderia fazer upload de arquivos desconhecidos;
  • O Infotrax não conseguiu segmentar adequadamente sua rede para garantir que os distribuidores de um cliente não pudessem acessar os dados de outro cliente;
  • O Infotrax não conseguiu implementar salvaguardas para detectar atividades suspeitas – por exemplo, a empresa não tinha um sistema de detecção de intrusões eficaz para identificar consultas questionáveis; Não usou ferramentas de monitoramento de integridade de arquivos para determinar quando os arquivos haviam sido alterados e não monitorou regularmente as tentativas não autorizadas de transferir dados confidenciais de sua rede;
  • O Infotrax armazenou informações confidenciais, incluindo números de previdência social, números de cartão de crédito e débito, IDs de usuário e senhas em texto claro e legível; e
  • O Infotrax não tinha um processo sistemático para excluir as informações pessoais dos consumidores que não tinha mais uma necessidade de negócios para manter sua rede.

O que aconteceu como resultado dessas falhas não deve ser uma surpresa. De acordo com a denúncia, em 2014, um intruso explorou as vulnerabilidades de segurança no servidor de Infotrax e no site de um cliente para fazer upload de código malicioso que deu ao Intruder o acesso remoto aos dados na rede de Infotrax-algo que foi feito um total de 17 vezes em um período de dois anos, tudo sem o inftrax que detecta o problema. Você deseja ler a reclamação para obter detalhes, mas a FTC alega que o intruso usou vários meios para desligar informações financeiras altamente sensíveis sobre os clientes e os consumidores finais da InfoTrax.

Finalmente, em 7 de março de 2016, quase dois anos após o início dos roubos de dados, o Infotrax recebeu uma idéia das múltiplas violações. A dica ocorreu na forma de um alerta de que um de seus servidores havia atingido sua capacidade máxima, um aviso que a empresa recebeu apenas porque um intruso havia criado um arquivo de dados tão enorme que o disco ficou sem espaço. A FTC diz que só então a empresa tomou medidas para remover o intruso de sua rede. Mas, mesmo assim, o intruso continuou a obter dados do servidor do InfoTrax por mais algumas semanas.

A denúncia alega que o fracasso da Infotrax em empregar segurança de dados razoável para proteger informações pessoais era uma prática injusta, violando a Lei FTC. A ordem proposta requer que a Infotrax e o CEO Mark Rawlins implemente um programa abrangente de segurança da informação, obtenha avaliações de todos os anos e certifique a conformidade anualmente. Além disso, o acordo estabelece salvaguardas específicas para abordar as deficiências de segurança alegadas na denúncia. A FTC está aceitando comentários públicos sobre o acordo proposto.

Que idéias outras empresas podem obter do caso?

As ferramentas de segurança prontamente disponíveis podem reduzir os riscos. A FTC alega que o Infotrax poderia ter reduzido o risco de dados sensíveis implementando medidas de proteção prontamente disponíveis e econômicas. Por exemplo, as empresas preocupadas com a segurança usam ferramentas para monitorar entradas e saídas não autorizadas em sua rede. Depois, há a validação de entrada, que pode determinar se os dados de sites potencialmente não confiáveis ​​estão configurados corretamente – uma precaução que pode reduzir o risco de código malicioso se esgueirando, digamos, uma base de dados em sua rede. Além disso, as ferramentas de integridade do arquivo podem ser capazes de detectar se um invasor tiver informações alteradas.

Inventário os dados em sua posse e descartá -los com segurança quando não há mais necessidade de mantê -los. De acordo com a FTC, um dos bancos de dados que o invasor violou foi um arquivo herdado que o Infotrax não estava ciente ainda estava em seu servidor. A alegação de reclamação demonstra a importância de saber o que você tem e onde a tem. Também ilustra a sabedoria de descartar informações desnecessárias com segurança. Você não precisa proteger o que não tem mais.

Considere as falhas de segurança de impacto têm sobre clientes e clientes. O roubo de identidade é sempre um risco quando as informações pessoais são violadas, mas a reclamação nesse caso acrescenta uma perspectiva humana às consequências da segurança de dados do LAX. Por exemplo, quando um cliente da InfoTrax contratou um call center para ajudar na resposta à violação de dados, consumidores e distribuidores relataram mais de 280 instâncias de suposta fraude, incluindo 238 reclamações de cobranças de cartão de crédito não autorizadas, 34 reclamações de novas linhas de crédito abertas, 15 queixas de fraude fiscal e 1 reclamação de uso de informações de purgas de emprego. Para provedores de serviços de terceiros com dados sensíveis ao consumidor, a segurança que não deve ser uma prioridade de primeiro nível.

Source link

Photo of Rui Manuel Oliveira

Rui Manuel Oliveira

Artigos Relacionados

Como convencer meu esquecido pai de 77 anos, é hora de assumir suas finanças? O psicoterapeuta do dinheiro Vicky Reynal responde

2 semanas atrás

Banco do Reino Unido, Trump Tarifas sobre o efeito dos medos no crescimento preparado para reduzir as taxas | Taxas de juros

2 semanas atrás

Por que você não deve confiar em tudo o que lê sobre o trabalho de ‘cama’ dos EUA | Sinais de genes

2 semanas atrás

Jeff Prestridge: Inspirado pelo esquadrão da polícia!, Como um diretor da empresa virou as mesas em um fraudador infeliz

2 semanas atrás
Botão Voltar ao Topo