Dicas de 4 brigas de bérolas para retirar do caso de TaxSlayer da FTC

Se você ou seus clientes estiverem no campo de preparação de impostos, há três letras em que você deve se concentrar. OK, o IRS pode ser a primeira coisa em sua mente. Mas como o O acordo proposto pela FTC com o TaxSlayer Sugere, não esqueça essas outras letras importantes: GLB.

Sob a Lei Gramm-Lixeira, “Instituições Financeiras”-mais sobre o que isso significa em um momento-deve cumprir o Regra de privacidade e o Regra de salvaguardas. A regra de privacidade exige que as empresas cobertas forneçam avisos aos consumidores que explicam suas políticas e práticas de privacidade. (A regra de privacidade existe desde 2001. Após a Lei Dodd-Frank, o Departamento de Proteção Financeira do Consumidor tornou-se responsável pela implementação da regra. Em 2014, o CFPB coloca sua versão em vigor, chamada chamada Reg p.)

A regra de salvaguardas exige que as instituições financeiras protejam a segurança, a confidencialidade e a integridade das informações do cliente, implementando e mantendo um programa abrangente de segurança da informação por escrito. Um trabalho de corte e pasta não serve. O programa deve incluir salvaguardas administrativas, técnicas e físicas apropriadas para o tamanho da empresa, a natureza e o escopo de suas atividades e a sensibilidade das informações do cliente em questão. Por exemplo, as empresas precisam realizar uma avaliação de como as informações dos clientes podem estar em risco e, em seguida, implementar salvaguardas para abordar esses riscos.

Agora, de volta ao que a FTC diz que o TaxSlayer fez – e não fez – isso violou as regras. A TaxSlayer oferece serviços de preparação e arquivamento de impostos dos consumidores, baseados na Web e disponíveis no aplicativo da empresa. Obviamente, para registrar uma declaração de imposto, os consumidores precisam inserir praticamente tudo além do tipo sanguíneo e sabor favorito de sorvete. Estamos falando de nome, número do Seguro Social, número de telefone, endereço, renda, estado civil, cônjuge, crianças, dívidas, seguro de saúde, nomes bancários, números de contas etc.

Por um período de dois meses em 2015, o TaxSlayer estava sujeito a um ataque de validação de lista, o que permitiu que os atacantes remotos acessem as contas por cerca de 8.800 usuários de tributação. (Um ataque de validação de lista, também conhecido como recheio de credenciais, é onde os hackers roubam credenciais de login de um site e, em seguida, se baseiam no fato de que alguns consumidores usam a mesma senha em vários sites – use -os para acessar contas em outros sites populares.) Em um número desconhecido de casos, os criminosos usaram os dados para cometer roubo de identidade tributária. Eles apresentaram retornos falsos com números de roteamento alterados e reembolsos de bolso que não eram devidos. E que bagunça deixou para os consumidores vitimados. Longos atrasos na obtenção de seus reembolsos legais, congela ou mantém seu crédito e horas sem fim tentando descrever o ovo de roubo de identificação.

No queixa propostaA FTC alega que o TaxSlayer violou a regra de privacidade e o Reg P ao não dar aos clientes os avisos de privacidade que eles eram devidos. Além disso, o TaxSlayer violou a regra de salvaguardas ao não ter um programa de segurança da informação por escrito, não conduzindo a avaliação de risco necessária e não implementando salvaguardas para controlar esses riscos – especificamente, o risco de que os atacantes remotos usariam credenciais roubados para assumir o tributação dos consumidores dos consumidores e cometiam a identidade de impostos.

Rastreando os assentamentos em vários outros casos de GLB, o TaxSlayer deve cumprir as regras e estará sujeito a avaliações independentes de todos os anos para a próxima década. Você pode registrar um comentário sobre o liquidação proposta até 29 de setembro de 2017.

O que significa o caso TaxSlayer para outras empresas?

1. Você ou seus clientes podem ser cobertos por Glb e nem mesmo sabem. A definição do GLB de “instituição financeira” é mais ampla do que muitas empresas pensam. Claro, abrange empresas com cofres, caixas e canetas acorrentadas que raramente funcionam. Mas se você tem clientes no planejamento ou nos negócios de preparação tributária, é provável que sejam cobertos pela Lei Gramm-Lixeira-Bliley. Que medidas você tomou para ajudá -los a cumprir?
2. Entregue seus avisos de privacidade. O Reg P exige que você entregue seu aviso de privacidade de uma maneira que os consumidores sejam razoavelmente esperados para recebê -lo. Um link para sua política de privacidade na sua página inicial é insuficiente. Há um Aviso de modelo Isso identifica as informações que você deve fornecer.
3. Use procedimentos de autenticação apropriados. A regra de salvaguardas inclui orientações concretas sobre a elaboração do seu programa de segurança de informações e a reclamação da FTC descreve os casos em que as práticas de autenticação do TaxSlayer supostamente ficaram aquém. De acordo com a FTC, o ataque de recheio de credenciais ao TaxSlayer terminou quando a empresa implementou a autenticação de vários fatores-exigindo que os usuários digitem seus nomes de usuário e senhas e depois autentique seu dispositivo, inserindo um código que a empresa enviou ao seu e-mail ou telefone. Seus clientes consideraram as vantagens de segurança da autenticação de vários fatores?
4. A regra de salvaguardas não se baseia em nenhum tempo de referência de louros. Uma vez que as empresas cobertas possuem um programa de segurança da informação por escrito, a regra de salvaguardas inclui obrigações contínuas. Por exemplo, as empresas devem avaliar e ajustar seus programas à luz das mudanças em suas operações comerciais, os resultados do monitoramento ou teste e outros fatores relevantes. Sua empresa ou seus clientes podem ter implementado salvaguardas em 2003, quando o GLB era o novo garoto no quarteirão. Mas o que eles fizeram recentemente para manter o programa atualizado?