A szolgáltatóval kötött adatvédelmi elszámolásban szereplő rendelési rendelkezések aktualizáltak| mobilit.hu

A szolgáltatóval kötött adatvédelmi elszámolásban szereplő rendelési rendelkezések aktualizáltak

Dominó elv. Hullámzó hatás. Pillangó esemény. Alkalmazza a választott analógiát annak leírására, hogy mi történik, ha egy szoftverfejlesztő állítólagos laza biztonsági gyakorlata a szoftvert használó több vállalkozás bizalmas ügyfélinformációinak megsértését eredményezi. Ha az Ön vállalkozása szolgáltató – vagy cége külső szolgáltatókat vesz igénybe az adatok kezeléséhez – a javasolt FTC-egyezség érdemes az Ön figyelmére. Az ügy egyik figyelemre méltó vonatkozása: új adatvédelmi követelményeket tartalmazó rendeletjavaslat, amely tükrözi a Bizottság jelenlegi prioritását az adatvédelmi rendeletek frissítésére vonatkozóan.

Számos külső szolgáltató ad el iparág-specifikus adatkezelő szoftvereket a fogyasztókat érdeklő vállalkozásoknak. Ilyen például a Dealerbuilt, a Lightyear Dealer Technologies által kifejlesztett szoftver az autókereskedők számára. A Dealerbuilt nagy név a szakmában, ügyfelei között vannak az ország legnagyobb márkakereskedései is. A Dealerbuilt szoftverét licencelő márkakereskedések nagy mennyiségű érzékeny pénzügyi, bérszámfejtési, számviteli és egyéb információt gyűjtenek és kezelnek a fogyasztókkal és alkalmazottakkal kapcsolatban. A szoftvert használó kereskedők tárolhatják adataikat a Dealerbuilt webhelyen, vagy saját szervereiken tárolhatják azokat. Azok a vállalkozások, amelyek a második lehetőséget választják, rendszeresen biztonsági másolatot készítenek adatbázisaikról a Dealerbuilt hálózatán.

Mielőtt rátérnénk az elkerülhetetlen információkra, amelyek a bűnüldözési intézkedéshez vezettek, álljunk meg néhány, a Dealerbuilt által az FTC által javasolt adminisztratív panasszal kapcsolatos időszak során alkalmazott gyakorlat áttekintésével. Az FTC szerint:

• A kereskedő tiszta szövegben építette a tárolt információkat, hozzáférés-vezérlés vagy hitelesítési védelem, például jelszavak vagy tokenek nélkül. A márkakereskedés és a Dealerbuilt biztonsági mentési adatbázisa között átvitt adatok is egyértelmű szöveggel voltak olvashatók.
• A Dealerbuilt nem rendelkezett írásos információbiztonsági szabályzattal.
• A Dealerbuilt nem biztosított megfelelő adatbiztonsági képzést sem alkalmazottak, sem vállalkozók számára.
• A Dealerbuilt nem mérte fel a hálózatán található érzékeny adatok kockázatát rendszeres kockázatértékelések vagy sebezhetőségi és penetrációs tesztek elvégzésével.
• A Dealerbuilt nem alkalmazott könnyen elérhető biztonsági intézkedéseket többek között az érzékeny információk továbbítására irányuló jogosulatlan kísérletek figyelésére.
• A Dealerbuilt nem hozott létre megfelelő adathozzáférési vezérlőket – például korlátozza a bejövő kapcsolatokat az ismert IP-címekre, hitelesítést ír elő a rendszerekhez vagy a tartalék adatbázisokhoz való hozzáféréshez.
• A Dealerbuilt nem rendelkezett megfelelő eljárásokkal a személyes adatokhoz hozzáférő berendezések kiválasztására, telepítésére és biztosítására.

Az állítólagos biztonsági hibák hátterében, ami ezután történt, nem lehet meglepő. A rendelkezésre álló biztonsági mentési tárhely növelésére a Dealerbuilt munkatársa 2015 áprilisában tárolóeszközt vásárolt és telepítette a cég hálózatára. Az FTC szerint a Dealerbuilt vezetése nem tett lépéseket az eszköz biztonságos beállítására. Ha valaki ellenőrizte volna, felfedezte volna, hogy az eszköznek van egy nyitott csatlakozási portja, amely lehetővé tette az információátvitelt.

2016. október végén egy hacker áttört ezen a nyitott porton, hogy illetéktelenül hozzáférjen a Dealerbuilt biztonsági mentési adatbázisához, amely több mint 12 millió fogyasztó titkosítatlan személyes adatait tartalmazza, amelyeket 130 ügyfélkereskedése tárolt a vállalatnál. A hacker többször is megtámadta a rendszert, 69 283 fogyasztó személyes adatait és öt márkakereskedés teljes biztonsági könyvtárát töltötte le. És ez még nem minden, mert jó ideig a Dealerbuilt nem biztonságos beállításait egy nyilvános webhelyen indexelték, amelyet a hackerek a nem biztonságosan csatlakoztatott eszközök észlelésére használtak. Mit loptak el végül? Többek között a fogyasztók társadalombiztosítási számai, jogosítványai és születési dátumai, valamint fizetési és pénzügyi információk a kereskedés alkalmazottairól – a személyazonosság-tolvajok ötcsillagos kedvencei.

A Dealerbuilt 2016. november 7-én értesült a jogsértésről, amikor egy márkakereskedés telefonált, hogy megtudja, miért voltak nyilvánosan elérhetők az ügyfelek adatai az interneten. Az FTC szerint a vállalat csak akkor szerzett tudomást a tárolóeszközei nyitott portjairól, amíg egy riporter nem tájékoztatta a Dealerbuilt a biztonsági résről.

Az 1-es számú panasz ismerősen csenghet az FTC-figyelők számára. Az FTC azt állítja, hogy a megfelelő biztonsági intézkedések végrehajtásának elmulasztása az FTC-törvényt sértő tisztességtelen gyakorlat volt. A 2. szám külön említést érdemel, mert a DealerBilt megfelel a Gramm-Leach-Bliley törvény „pénzintézet” definíciójának. Ez kiváltja a GLB biztonsági szabály be nem tartását, amelyet az FTC állítása szerint a Dealerbuilt megsértett – többek között – az írásos információbiztonsági program kidolgozásának, megvalósításának és karbantartásának elmulasztásával; Az ügyféladatok biztonságát, bizalmasságát és integritását érintő ésszerűen előrelátható kockázatok azonosításának elmulasztása; valamint az alapvető biztonsági intézkedések végrehajtásának és hatékonyságuk rendszeres tesztelésének elmulasztása.

Az ügy rendezése érdekében a Vállalat elfogadta a javasolt sorrendet, amely jelentős új rendelkezéseket tartalmaz, amelyeket érdemes lehet alaposan áttekinteni. A ClixSense és iAddressUp ügyekben áprilisban bejelentett végzésekhez hasonlóan a javasolt végzés ebben az esetben is előírja a DealerBilt vezető tisztviselőjének, hogy éves tanúsítványt nyújtson be a megfelelőségről az FTC-nek. A végzés azt is előírja, hogy a Dealerbuilt specifikus, végrehajtható biztonsági intézkedéseket hajtson végre, amelyek a panaszban hivatkozott problémákra megoldást nyújtanak – például kötelezi a vállalatot, hogy tartson éves alkalmazotti képzést, figyelje rendszereit adatbiztonsági incidensekre, vezesse be a hozzáférés-ellenőrzést, és leltározza meg az eszközöket a hálózatán. Ezenkívül a javasolt végzés fontos változtatásokat tartalmaz a Dealerbuilt adatbiztonsági programjának felülvizsgálatáért felelős külső értékelő elszámoltathatóságának további javítása érdekében. Ezenkívül a rendelet nagyobb hozzáférést biztosít az FTC számára azokhoz a dokumentumokhoz és egyéb anyagokhoz, amelyekre az értékelő alapozza megállapításait.

Miért frissítették az elszámolási feltételeket? A specifikusabb rendelési rendelkezések, a kötelező felső vezetés a biztonsági kérdésekre összpontosít, az értékbecslők számára kötelező mélyreható „nézzen a motorháztető alá” értékelések, valamint az FTC új felügyeleti eszközei mind a megrendelések betartásának és – ha szükséges – végrehajtásának biztosítására szolgálnak.

Miután a javasolt egyezséget közzétették a Szövetségi Nyilvántartásban, az FTC 30 napig elfogadja a nyilvános észrevételeket. Mit tanulhatnak más cégek ebből az esetből?

Tanítsa és felügyelje alkalmazottait, hogy a biztonságra összpontosítsanak. Kezdetnek jelöl ki valakit, aki felelős a vállalkozás biztonságáért, de ez nem jelenti azt, hogy ezután úgy kell tennie, mintha nem léteznének sebezhető pontok. A fogyasztók érzékeny személyes adatait kezelő vállalatok felelőssége, hogy minden lehetséges módon fontolóra vegyék a biztonságot. Vállalkozása jellegéhez szabott képzést tartson a személyzetnek, és frissítse azt, hogy tükrözze az aktuális kockázatokat és fenyegetéseket. Győződjön meg arról is, hogy valaki felügyeli azokat a felügyelőket, akiknek döntései jelentős hatással vannak a vállalat biztonságára.

Legyen körültekintő, amikor hálózati hozzáféréssel rendelkező eszközöket telepít. Mint ha az ujját az aljzatba dugná, bizonyos eszközök rendszerhez való hozzáadása azzal a kockázattal jár, hogy komoly sokkot okoz. Vegye figyelembe a biztonsági vonatkozásokat, és győződjön meg arról, hogy minden berendezés megfelelően van telepítve.

A GLB lefedettsége átfogó. A „pénzintézet” kifejezés előidézheti a betétkönyvek, számlálók és asztalokhoz kötött tollak képeit, de a Gramm-Leach-Bliley szabályok nem így határozzák meg a kifejezést. Fontolja meg, hogy vállalkozása lehet-e a GLB értékpapírszabály hatálya alá tartozó pénzintézet.

Ha cége harmadik féltől származó szoftvereket vagy szolgáltatókat használ, építsen be védelmet a szerződéseibe. Még akkor is, ha egy másik cég magatartása érintett a jogsértésben, A tiéd Az ügyfelek adatai veszélyben lehetnek, és tudni akarják, mit Te Azért tette, hogy megvédje őket. Amint azt az FTC Start with Security című kiadványa javasolja, amikor harmadik fél szolgáltatókra bízza az adatokat, közölje biztonsági elvárásait, figyelje meg, mit tesznek az Ön nevében, és kövesse az ismert sebezhetőségekről számoló webhelyeket.

A szolgáltatók felelősek az általuk gyűjtött és tárolt személyes adatok biztonságáért. Még ha műveletei a színfalak mögött történnek is, akkor is felelősségre vonhatók a törvény megsértéséért. Ha érzékeny fogyasztói adatokat más vállalatok nevében kezel, a biztonságnak az első helyen kell lennie.

Megjelenési Dátum: 2019-06-12 16:39:19

Forráslink: www.ftc.gov