Ashley Madison megegyezésre jut az FTC-vel az adatbiztonság kérdésében
Ha érdekli az adatbiztonság és az adatvédelem, forduljon a Ruby Corporation-hez, a Ruby Life Inc.-hez és az ADL Media Inc.-hez. Érdemes lehet olvasni az FTC egyezségéről az AshleyMadison.com-mal – ezek a cégek működtetik az AshleyMadison.com-ot.
Az AshleyMadison.com egy „100%-ban biztonságos és névtelen” társkereső webhelyet hirdet. Ezeket az állításokat megerősítette azzal, hogy a „Trusted Security Award” ikont és egy képet is tartalmazott, amely arra utal, hogy a webhely „100%-ban diszkrét szolgáltatás”.
A webhely azzal az ígérettel csábított, hogy „nők ezrei” lesznek a városban (és ne feledje, a 19 millió amerikai profilból körülbelül 16 millió férfi volt). Ezután „elkötelező profilokat” használt – olyan hamis profilokat, amelyeket olyan alkalmazottak hoztak létre, akik úgy kommunikáltak, mintha valódi női felhasználók lennének. A cég létrehozta ezeket a profilokat a meglévő tagoktól származó információk alapján, akiknek egy ideje nem volt fiókaktivitása. Sokszor a nem fizető felhasználók teljes jogú tagságra frissítenek, hogy üzeneteket küldhessenek olyan embereknek, akikről azt gondolták, hogy valódi felhasználók, de valójában hamis profilok.
Azoknak a felhasználóknak, akik aggódtak amiatt, hogy mások tudomást szereznek a webhelyen végzett tevékenységeikről, a webhely azt ígérte, hogy „törölheti digitális nyomait”. 19 dollárért vásárolhat egy „Teljes törlést”, amely azt ígéri, hogy eltávolítja az összes adatot az AshleyMadison.com webhelyről. Olyan információkról beszélünk, mint: név; Kapcsolati állapot; szexuális preferenciák és vágyott találkozások; kívánt tevékenységek; fényképek; és pénzügyi információk. Ez olyan információnak tűnik, amelyet az emberek nem akarnak nyilvánosságra hozni, igaz?
2015 júliusában a „The Impact Team” nevű csoport feltörte Ashley Madison számítógépes rendszereit. A csoport azzal fenyegetőzött, hogy nyilvánosságra hozza a weboldal felhasználói adatait, hacsak nem zárják le Ashley Madisont. Amikor a cég meghátrált, a csoport 36 millió felhasználóról tett közzé személyes információkat. Ez sok ember nagyon személyes információja.
Ez magában foglalja az olyan személyek adatait is, akik fizettek a „teljes törlésért”. Kiderült, hogy Ashley Madison a „teljes törlés” után 12 hónapig megőrizte személyes adatait, és néha nem sikerült teljesen törölnie a profilokat.
Hogyan történt ez? Az FTC panasza azt állítja, hogy az AshleyMadison.com számos olyan gyakorlatot folytatott, amelyek nem biztosították a megfelelő adatvédelmet, többek között:
- Írott információbiztonsági szabályzat hiánya
- A megfelelő hozzáférés-szabályozás végrehajtásának elmulasztása
- A személyzet adatbiztonsággal kapcsolatos megfelelő képzésének elmulasztása
- A külső szolgáltatók figyelésének elmulasztása
Mindezeket az alapelveket felvázolja az FTC Kezdő lépések a biztonsággal című útmutatójában.
Az FTC ötrendbeli panasza megtévesztésre és tisztességtelenségre egyaránt vonatkozik. A csalási esetek a következők: félrevezetés arról, hogy a vállalat ésszerű lépéseket tett az AshleyMadison.com biztonságosságának biztosítása érdekében; Az a félrevezetés, hogy a párkeresők profilja valódi nőket ábrázol; A profil törlésével kapcsolatos félrevezetés; És az adatbiztonsági pecséttel kapcsolatos félrevezetések (kitaláltad – a cég valójában nem kapta meg a „Megbízható Biztonsági Díjat” írásos adatbiztonsági szabályzat nélkül). Végül a panasz azt állítja, hogy a vállalat helytelen biztonsági gyakorlata megsebesítette vagy valószínűleg kárt okoz a fogyasztókban.
Az FTC egyezsége a Ruby Corporationnel és leányvállalataival megtiltja a vállalatoknak, hogy ilyen típusú félrevezetéseket tegyenek. Ezenkívül átfogó információbiztonsági programot kell fenntartaniuk, és kétévente értékelést kell kapniuk.
És az FTC nincs ezzel egyedül. Az FTC egyezsége tizenhárom állammal és a Columbia kerülettel áll fenn. Az FTC kanadai és ausztráliai nemzetközi kollégáitól is kapott segítséget. Egy közös vizsgálat alapján a kanadai adatvédelmi biztos hivatala megfelelőségi megállapodást, az ausztrál információs biztos hivatala pedig végrehajtható kötelezettségvállalást kötött a torontói székhelyű Ruby Corporationnel. Ezek a megállapodások a vállalat adatbiztonsági és adatmegőrzési politikáinak javítását célzó javító intézkedésekre összpontosítanak.
Szóval, milyen tanulságokat vontunk le az Ashley Madison-ügyből? A vállalkozásoknak be kell tartaniuk ígéreteiket. És ha érzékeny személyes adatokat gyűjt, meg kell védenie azokat.
Az ezzel kapcsolatos további útmutatásért tekintse meg a Személyes adatok biztonsága: Útmutató az üzleti élethez és a Kezdő lépések a Biztonsággal: Útmutató vállalkozások számára című témakört. További megfelelőségi forrásokért keresse fel a Business Center adatvédelmi és biztonsági portálját.
Megjelenési Dátum: 2016-12-14 17:05:01
Forráslink: www.ftc.gov
