4 Grams-Leach-Bliley tipp az FTC TaxSlayer esetéből
Ha Ön vagy ügyfelei adóelőkészítési területen dolgoznak, három betűre kell figyelnie. Nos, az adóhivatal lehet az első dolog, ami eszébe jut. De amint azt az FTC TaxSlayerrel kötött megegyezéses javaslata mutatja, ne feledkezzünk meg a többi fontos betűről sem: GLB.
A Gramm-Leach-Bliley törvény értelmében a „pénzintézeteknek” – pontosabban mit is jelent ez egy pillanat alatt – be kell tartaniuk az adatvédelmi és biztonsági szabályokat. Az adatvédelmi szabály előírja, hogy a hatálya alá tartozó vállalatok tájékoztatást nyújtsanak a fogyasztóknak, amelyekben elmagyarázzák adatvédelmi irányelveiket és gyakorlatukat. (Az adatvédelmi szabály 2001 óta létezik. A Dodd-Frank törvény nyomán a Fogyasztók Pénzügyi Védelmi Hivatala lett a felelős a szabály betartatásáért. 2014-ben a CFPB megalkotta saját változatát Reg P néven.)
A Biztonsági intézkedések szabálya kimondja, hogy a pénzügyi intézmények átfogó írásos információbiztonsági program megvalósításával és fenntartásával védik az ügyfelek információinak biztonságát, bizalmasságát és integritását. A kivágás és beillesztés nem fog működni. A programnak tartalmaznia kell a vállalkozás méretének, tevékenységeinek jellegének és körének, valamint a szóban forgó ügyféladatok érzékenységének megfelelő adminisztratív, műszaki és fizikai biztonsági intézkedéseket. Például a vállalatoknak fel kell mérniük, hogy az ügyfelek adatai mennyire lehetnek veszélyben, majd biztonsági intézkedéseket kell bevezetniük e kockázatok kezelésére.
Most térjünk vissza ahhoz, amit az FTC szerint a TaxSlayer tett – és nem tett –, ami megsértette a szabályokat. A TaxSlayer adó-előkészítési és -bevallási szolgáltatásokat nyújt a fogyasztóknak, amelyek interneten és a vállalat alkalmazásán keresztül is elérhetők. Természetesen az adóbevallás benyújtásához a fogyasztóknak szinte mindent meg kell adniuk, kivéve a vércsoportjukat és a kedvenc fagylalt ízét. Névről, társadalombiztosítási számról, telefonszámról, címről, jövedelemről, családi állapotról, házastársról, gyermekekről, adósságról, egészségbiztosításról, banknevekről, számlaszámokról és egyebekről beszélünk.
2015-ben két hónapon át a TaxSlayer egy listaellenőrző támadásnak volt kitéve, amely lehetővé tette a távoli támadók számára, hogy hozzáférjenek körülbelül 8800 TaxSlayer-felhasználó fiókjához. (A lista-ellenőrző támadás, más néven hitelesítő adatok kitöltése, amikor a hackerek ellopják a bejelentkezési adatokat egy webhelyről, majd – abból a tényből kifolyólag, hogy egyes fogyasztók több oldalon is ugyanazt a jelszót használják – más népszerű webhelyeken lévő fiókokhoz való hozzáférésre használják őket.) Ismeretlen számú esetben a bűnözők az adatokat adóazonosítók ellopására használták fel. Hamis bevallásokat nyújtottak be megváltoztatott útvonalszámokkal, és megtartották a nem nekik járó visszatérítéseket. És micsoda problémává vált a szenvedő fogyasztók számára. Hosszú késések a megfelelő visszatérítés beérkezésében, lefagynak vagy lefagynak a hitelükben, és végtelen órákig próbálják megfejteni az igazolványlopás tojását.
A javasolt panaszban az FTC azt állítja, hogy a TaxSlayer megsértette az adatvédelmi szabályt és a Reg P-t, mivel nem adta át az ügyfeleknek a megfelelő adatvédelmi nyilatkozatokat. Ezenkívül a TaxSlayer megsértette a biztonsági szabályt azáltal, hogy nem rendelkezett írásos információbiztonsági programmal, nem végezte el a szükséges kockázatelemzéseket, és nem tett óvintézkedéseket e kockázatok ellenőrzésére – különösen annak kockázatára, hogy a távoli támadók ellopott hitelesítő adatokat használnak a fogyasztók TaxSlayer-fiókjainak átvételére, és adóazonosító lopást követnek el.
Több más GLB-ügy egyezsége után a TaxSlayernek meg kell felelnie a szabályoknak, és a következő évtizedben minden második évben független értékelésnek kell alávetni. Az elszámolási javaslattal kapcsolatos észrevételeket 2017. szeptember 29-ig lehet benyújtani.
Mit jelent a TaxSlayer-ügy más cégek számára?
- Előfordulhat, hogy Ön vagy ügyfelei a GLB hatálya alá tartoznak, és nem is tudnak róla. A GLB „pénzintézet” definíciója tágabb, mint azt sok vállalkozás gondolná. Természetesen ide tartoznak a trezorok, a pénztárak és a ritkán működő, láncolt golyóstollal rendelkező cégek. De ha adótervezési vagy adóelőkészítési üzletágban vannak ügyfelei, nagy eséllyel ők is a Gramm-Leach-Bliley törvény hatálya alá tartoznak. Milyen lépéseket tett annak érdekében, hogy segítse őket megfelelni?
- Ossza meg adatvédelmi közleményeit. A Reg P megköveteli, hogy adatvédelmi nyilatkozatát olyan módon terjessze, hogy a fogyasztók ténylegesen megkapják. Az adatvédelmi szabályzatra mutató hivatkozás a kezdőlapján nem megfelelő. Van egy közleményminta, amely azonosítja azokat az információkat, amelyeket meg kell adnia.
- Használjon megfelelő hitelesítési eljárásokat. A védintézkedésekre vonatkozó szabály szilárd útmutatást tartalmaz az információbiztonsági program felépítésére vonatkozóan, az FTC panasza pedig felvázolja azokat az eseteket, amikor a TaxSlayer hitelesítési gyakorlata állítólag elmaradt. Az FTC szerint a TaxSlayer elleni hitelesítő adatokkal kapcsolatos támadás akkor ért véget, amikor a vállalat bevezette a többtényezős hitelesítést – a felhasználóknak be kellett írniuk felhasználónevüket és jelszavukat, majd hitelesíteniük kellett eszközüket a cég által e-mailjükre vagy telefonjukra küldött kód megadásával. Ügyfelei mérlegelték a többtényezős hitelesítés biztonsági előnyeit?
- A biztonsági intézkedés szabálya semmilyen babérpihenő időszakban nem érvényesül. Amint a lefedett vállalatok rendelkeznek írásos információbiztonsági programmal, a biztosítékok szabálya folyamatos kötelezettségekkel jár. Például a vállalatoknak értékelniük és módosítaniuk kell programjaikat az üzleti tevékenységükben bekövetkezett változások, a megfigyelési vagy tesztelési eredmények és más releváns tényezők fényében. Lehetséges, hogy cége vagy ügyfelei már 2003-ban bevezettek biztonsági intézkedéseket, amikor a GLB volt az új gyerek a blokkban. De mit tett a közelmúltban, hogy megtartsa programját?
Megjelenési Dátum: 2017-08-29 17:21:48
Forráslink: www.ftc.gov
