Liquidação de segurança de dados com o provedor de serviços inclui disposições de pedido atualizadas

O princípio dominó. O efeito cascata. O fenômeno da borboleta. Aplique a analogia de sua escolha para descrever o que acontece quando um software desenvolvedorsupostamente práticas de segurança LAX resultam na quebra de informações confidenciais do cliente mantidas por múltiplo empresas que usam o software. Se sua empresa é um provedor de serviços-ou se sua empresa usar provedores de serviços de terceiros para ajudar a gerenciar seus dados-um proposto Liquidação da FTC méritoé sua atenção. Um aspecto notável do caso: uma ordem proposta que inclui novos requisitos de segurança de dados, refletindo a prioridade atual da Comissão de atualizar suas ordens de segurança de dados.

Muitos provedores de serviços de terceiros vendem software de gerenciamento de dados específico do setor para empresas voltadas para o consumidor. Um exemplo é o Dealerbuilt, software para revendedores de automóveis desenvolvidos pela LightYear Dealer Technologies. O Dealerbuilt é um grande nome nos negócios, numerando algumas das maiores concessionárias do país como clientes. As concessionárias que licenciam o software do DealerBuilt coletam e mantêm grandes quantidades de informações financeiras, folha de pagamento, contabilidade e outras informações sensíveis sobre consumidores e funcionários. Os revendedores que usam o software podem ter um revendedor hospedar seus dados ou podem hospedá -los em seus próprios servidores. As empresas que escolhem a segunda opção fazem backup regularmente de seus bancos de dados na rede do DealerBuilt.

Antes de chegar às informações inevitáveis, que levaram à ação da aplicação da lei, vamos dar uma pausa para considerar algumas das práticas do Dealerbuilt durante o tempo relevante para a proposta de FTC proposta reclamação. De acordo com a FTC:

  • O revendedor armazenou informações armazenadas em texto claro, sem controles de acesso ou proteções de autenticação, como senhas ou tokens. Os dados transmitidos entre concessionárias e banco de dados de backup da DealerBuilt também estavam em texto claro.
  • O Dealerbuilt não tinha uma política de segurança da informação escrita em vigor.
  • O Dealerbuilt não forneceu treinamento razoável de segurança de dados para funcionários ou contratados.
  • O Dealer comprado não avaliou os riscos aos dados confidenciais em sua rede, realizando avaliações periódicas de risco ou realizando testes de vulnerabilidade e penetração.
  • O Dealerbuilt não usou medidas de segurança prontamente disponíveis para monitorar – entre outras coisas – tentativas não autorizadas de transferir informações confidenciais.
  • O DealerBuilt não colocou controles de acesso a dados razoáveis ​​em vigor – por exemplo, sistemas para limitar as conexões de entrada aos endereços IP conhecidos ou requerem autenticação para acessar bancos de dados de backup.
  • O DealerBuilt não tinha um processo razoável para selecionar, instalar e proteger dispositivos com acesso a informações pessoais.

Nesse cenário de supostas falhas de segurança, o que aconteceu a seguir não deve ser uma surpresa. Para aumentar o armazenamento de backup disponível, um funcionário de revendedores comprou um dispositivo de armazenamento e o instalou na rede da empresa em abril de 2015. De acordo com a FTC, o Gerenciamento de Dealerbuilt não tomou medidas para garantir que o dispositivo fosse configurado com segurança. Se alguém tivesse verificado, teria aprendido que o dispositivo criou uma porta de conexão aberta que permitia transferências de informações.

Avanço rápido para o final de outubro de 2016, quando um hacker “passou por um porto aberto para obter acesso não autorizado ao banco de dados de backup da DealerBuilt, incluindo as informações pessoais não criptografadas de mais de 12 milhões de consumidores que 130 de suas concessionárias de clientes haviam armazenado com a empresa. O hacker atacou o sistema multiplicou as vezes, baixando as informações pessoais de 69.283 consumidores e todos os diretórios de backup de cinco concessionárias. E isso não é tudo porque, por um período substancial de tempo, as configurações inseguras da revendedor da oferta foram indexadas em um site público que os hackers usam para localizar dispositivos conectados inseguros. O que foi roubado em última análise? Entre outras coisas, os números de previdência social dos consumidores, números de carteira de motorista e datas ou nascimento, bem como informações salariais e financeiras sobre os funcionários da concessionária-os favoritos de cinco estrelas dos ladrões de identidade.

O DealerBuilt aprendeu sobre a violação em 7 de novembro de 2016, quando uma concessionária ligou, exigindo saber por que os dados do cliente eram acessíveis ao público na Internet. De acordo com a FTC, não foi até que um repórter disse ao Dealerbuilt sobre a vulnerabilidade de segurança que a empresa tomou conhecimento da porta aberta em seu dispositivo de armazenamento.

Contagem 1 do reclamação deve parecer familiar para os observadores da FTC. A FTC alega que a falha da empresa em empregar razoável segurança As medidas foram uma prática injusta, violando a Lei FTC. A contagem 2 vale uma menção especial porque o Dealerbuilt atende à definição de “Instituição Financeira” da Lei Gramm-Bliley. Que desencadeia a conformidade com o Regra de salvaguardas GLBque a FTC alega que a revelação violada – entre outras coisas – não desenvolvendo, implemente e mantenha um programa de segurança de informações por escrito; Não identificar riscos razoavelmente previsíveis para a segurança, confidencialidade e integridade das informações do cliente; e não implementar salvaguardas básicas e testar regularmente sua eficácia.

Para resolver o caso, a empresa concordou em um ordem proposta Isso inclui novas disposições notáveis Você vai querer revisar com cuidado. Como os pedidos nos casos de Clixsense e Idressup anunciados em abril, a ordem proposta neste caso exige que um oficial de revendedor sênior forneça à FTC certificações de conformidade anual. O pedido também exige que o revendedor implemente salvaguardas específicas e executáveis ​​que abordem os problemas alegados na denúncia – por exemplo, exigindo que a empresa conduza treinamento anual de funcionários, monitore seus sistemas para incidentes de segurança de dados, implemente controles de acesso e dispositivos de inventário em sua rede . Além disso, o pedido proposto faz alterações significativas para melhorar ainda mais a prestação de contas do avaliador de terceiros responsáveis ​​por revisar o programa de segurança de dados da DealerBuilt. Além disso, a ordem fornece ao FTC maior acesso a documentos e outros materiais sobre os quais o avaliador baseia suas conclusões.

Por que os termos de liquidação atualizados? As disposições mais específicas de pedidos, a gerência sênior obrigatória focam em questões de segurança, a profundidade “Olhe debaixo do capôAvaliação exigida dos avaliadores e novas ferramentas de monitoramento da FTC são projetadas para garantir a conformidade com pedidos e, se necessário, aplicar.

Depois que o acordo proposto for publicado no Federal Register, a FTC aceitará comentários públicos por 30 dias. O que outras empresas podem tirar do caso?

Treine e supervisione seus funcionários para serem centrados em segurança. Designar alguém para estar no comando de segurança em seus negócios é um começo, mas isso não significa que você finge que as vulnerabilidades não existem. As empresas que lidam com as informações pessoais sensíveis dos consumidores têm a responsabilidade de considerar a segurança o tempo todo. Realize o treinamento da equipe apropriado à natureza do seu negócio e atualize -o para refletir riscos e ameaças atuais. Além disso, verifique se alguém está supervisionando os supervisores cujas decisões têm um grande impacto na segurança da sua empresa.

Exercite o cuidado ao instalar dispositivos com acesso à rede. Como enfiar um dedo em um soquete, adicionando certos dispositivos Para o seu sistema, corre o risco de infligir um choque substancial. Pense nas implicações de segurança e verifique se você Qualquer dispositivo é instalado corretamente.

A cobertura GLB é ampla. A frase “instituição financeira” pode evocar imagens de pastagens, caixas e canetas acorrentadas às mesas, mas não é assim que as regras do Gramm-Leach-Bliley definem o termo. Considere se sua empresa pode ser uma instituição financeira sujeita à regra de salvaguardas GLB.

Se sua empresa usar software ou provedores de terceiros, crie a segurança em seus contratos. Mesmo que a conduta de outra empresa esteja implicada em uma violação, seu As informações dos clientes podem estar em risco e eles vão querer saber o que você fez para protegê -los. Como a publicação da FTC começa com a segurança sugere, ao confiar dados a provedores de serviços de terceiros, explique suas expectativas de segurança, monitore o que estão fazendo em seu nome e siga os sites que relatam vulnerabilidades conhecidas.

Os provedores de serviços são responsáveis ​​por proteger os dados pessoais que coletam e armazenam. Mesmo que suas operações estejam nos bastidores, você ainda pode ser responsável por violações da lei. Se você lidar com dados sensíveis ao consumidor em nome de outras empresas, a segurança deve estar na frente e no centro.

Source link

Photo of Rui Manuel Oliveira

Rui Manuel Oliveira

Artigos Relacionados

Harrods é o último varejista a ser atingido por ataque cibernético | Hardrods

8 horas atrás

Os ganhos de três meses da Meta, à medida que os investimentos da IA ​​aumentam para bilhões de Wall Street vencem as expectativas | Meta

1 dia atrás

Mudança de regras do HMRC definida como proprietários de proprietários: milhares precisarão em breve relatar receitas e despesas a cada três meses

2 dias atrás

A Inglaterra Ikea Boss apóia pedidos de pedestres Oxford Street enquanto abre uma loja principal | Ikea

2 dias atrás
Botão Voltar ao Topo