يذكرنا قرار ويندهام بـ "البدء بالأمان"

يجب أن ينتبه النظام البيئي الرقمي إلى القرار الأخير الصادر عن محكمة الاستئناف بالدائرة الثالثة الأمريكية ضد شركة Wyndham Worldwide Corporation ، والذي يؤكد حق FTC في تنظيم أمان البيانات.

لم تكن سلطة FTC في تنظيم خصوصية البيانات موضع شك ، نظرًا لتفويض الوكالة الواسع بموجب المادة 5 من قانون FTC للإشراف على "حماية المستهلك". لكن سلطة FTC في وصف ممارسات أمان البيانات تم التشكيك فيها في القضايا التي تضم مدعين منفصلين - فنادق Wyndham و Lab MD .

قبل الخوض في الحكم وكيفية تطبيقه على شركة تجمع بيانات حساسة وشخصية من المستخدمين النهائيين ، دعنا نراجع الخلفية ذات الصلة.

قضية FTC ضد ويندهام

اخترق المتسللون أنظمة كمبيوتر ويندهام ثلاث مرات بين عامي 2008 و 2010 ، وسرقوا معلومات بطاقة الائتمان من 619 ألف فرد ، وتكبدوا أكثر من 10.6 مليون دولار من الرسوم الاحتيالية. تضمنت هذه الأنظمة شبكات الشركات الخاصة بـ Wyndham ، والتي تم ربطها بأنظمة الكمبيوتر لأكثر من 7000 فندق تديره شركة ويندهام وأصحاب الامتياز. على الرغم من هذه الاختراقات المتكررة ، رفض ويندهام تحديث إجراءاته الأمنية - مما أدى إلى عمليات تسلل إضافية لأنظمته.

نتيجة لعدم تنفيذ هذه الإجراءات الأمنية الأساسية ، تمكن المتسللون من تثبيت برامج ضارة "لاستخراج الذاكرة" على شبكات الشركة وأنظمة إدارة الممتلكات للفنادق التي تديرها ويندهام وتحظى بامتياز. على مدى عامين ، استخرج المتسللون بشكل منهجي المعلومات الشخصية والحساسة (الأسماء والعناوين وأرقام بطاقات الائتمان) لأكثر من 600000 فرد ، وقاموا بتصدير تلك البيانات بشكل غير قانوني إلى مجال مسجل في روسيا.

رداً على ذلك ، رفعت FTC الدعوى ، بحجة أن رفض ويندهام المتكرر لتنفيذ تدابير أمان بيانات معقولة ، مع الاستمرار في جمع البيانات الحساسة والشخصية (بما في ذلك بطاقة الائتمان ومعلومات الفوترة الأخرى) من المستخدمين النهائيين الفرديين ، كان "غير عادل" بموجب القسم 5.

علاوة على ذلك ، وجدت لجنة التجارة الفيدرالية (FTC) أن عدم تبني إجراءات أمان البيانات الأساسية هذه كان "خادعًا" بموجب القسم 5 ، لأن ويندهام وعدت في سياسة الخصوصية الخاصة بها بأنها ستستخدم تدابير أمنية "قياسية" لحماية البيانات الشخصية والحساسة.

يمكنك معرفة المزيد حول خلفية الحالة في هذا التحديث الممتاز بواسطةJanisKestenbaum من Perkins Coie .

كيف فشلت ويندهام في تأمين شبكتها

توضح شكوى FTC بعض الأشياء العديدة التي لم تفعلها Wyndham لتأمين شبكتها:

• عدم استخدام التدابير الأمنية المتاحة بسهولة لتأمين أنظمة الكمبيوتر الداخلية مثل جدران الحماية ؛
• تكوين البرامج بشكل غير صحيح ، ونتيجة لذلك ، تخزين معلومات بطاقة ائتمان المستخدمين النهائيين بنص واضح ؛
• الفشل في معالجة الثغرات الأمنية المعروفة على الخوادم ؛
• استخدام أسماء المستخدمين وكلمات المرور الافتراضية للوصول إلى الخوادم ؛
• عدم طلب استخدام معرفات مستخدم وكلمات مرور معقدة من قبل الموظفين للوصول إلى خوادم الشركة ؛
• الفشل في تقييد وصول الطرف الثالث بشكل معقول إلى شبكات الشركة وأجهزة الكمبيوتر.

جادلت لجنة التجارة الفيدرالية بأن مثل هذه الممارسات كانت قياسية بين الشركات التي تجمع البيانات الشخصية والحساسة - وأنه من خلال عدم تبني مثل هذه الممارسات ، حتى بعد ثلاث عمليات اختراق متتالية ، كانت تصرفات ويندهام غير عادلة.

الدائرة الثالثة تتحدث

رداً على إجراء لجنة التجارة الفيدرالية ، رفعت ويندهام دعوى في محكمة المقاطعة زاعمة ، من بين أمور أخرى ، أن لجنة التجارة الفيدرالية تفتقر إلى سلطة رفع دعوى تتعلق بأمن البيانات. كما جادل بأن لجنة التجارة الفيدرالية لم تحدد بشكل كاف ما هي ممارسات أمن البيانات "المعقولة".

بعد خسارة هذه الدعوى في محكمة المقاطعة ، استأنف ويندهام أمام الدائرة الثالثة. استجاب حكم الدائرة الثالثة بحكم ينتقد ويندهام بشدة ويوفر أسسًا ضئيلة لاستئناف المحكمة العليا بموجب مبدأ " سيرتيوراري ".

أجاب رأي المحكمة على سؤالين مهمين طرحهما ويندهام:

1. تتمتع FTC بالسلطة بموجب قانون FTC لاتخاذ إجراءات أمان البيانات ضد الشركات التي لا تستخدم ممارسات أمان البيانات "المعقولة".
2. قدمت لجنة التجارة الفيدرالية ( FTC) إشعارًا مناسبًا للصناعة بشأن ما يشكل أمانًا "معقولًا" للبيانات . في هذه النقطة ، نظرت المحكمة في حجج لجنة التجارة الفيدرالية في العديد من الملفات المرفوعة ضد المدعى عليهم الذين قاموا بتأمين البيانات التي جمعوها من المستخدمين النهائيين والعملاء بشكل غير صحيح. كما نظروا في إرشادات FTC المنشورة ، والتي تعتمد بشكل أساسي على أفضل ممارسات الصناعة لتوضيح معيار.

لم تتناول الدائرة الثالثة السؤال المحدد حول ما إذا كانت تصرفات ويندهام كانت بالفعل "غير معقولة" بناءً على توجيهات لجنة التجارة الفيدرالية - ستتم معالجة هذا السؤال من قبل محكمة مقاطعة نيو جيرسي التي أعيدت إليها القضية الآن.

إذا وصلت إلى هذه النقطة في المنشور ، فعندئذٍ تهانينا ، هذا هو المكان الذي تصبح فيه الأشياء مثيرة للاهتمام ونأمل أن تكون ذات صلة بك.

ماذا يعني أمن البيانات المعقول لعملك؟

بموجب تحليل الدائرة الثالثة ، أعطت لجنة التجارة الفيدرالية الشركات إشعارًا كافيًا بتلك الممارسات التي تعتبرها "معقولة" عندما يتعلق الأمر بتأمين البيانات الشخصية والحساسة - من خلال التسويات مع العديد من المدعى عليهم ، بالإضافة إلى الإرشادات المنشورة للصناعة.

في الواقع ، قدمت FTC إرشادات محددة حول ممارسات "أمان البيانات المعقولة" لمطوري تطبيقات الأجهزة المحمولة في دليل Start with Security الخاص بها .

"لا توجد قائمة تحقق لتأمين جميع التطبيقات. التطبيقات المختلفة لها احتياجات أمنية مختلفة. على سبيل المثال ، من المحتمل أن يثير تطبيق المنبه الذي يجمع القليل من البيانات أو لا يجمع أي بيانات على الإطلاق اعتبارات أمنية أقل من الشبكات الاجتماعية القائمة على الموقع. قد تعتمد التطبيقات الأكثر تعقيدًا على الخوادم البعيدة لتخزين بيانات المستخدمين ومعالجتها ، مما يعني أن المطورين يجب أن يكونوا على دراية بتأمين البرامج وتأمين عمليات نقل البيانات وتأمين الخوادم. إضافة إلى التحدي: التهديدات الأمنية وأفضل الممارسات تتطور بسرعة ".

بمعنى آخر ، تتوقع لجنة التجارة الفيدرالية (FTC) من مطوري التطبيقات تبني ممارسات أمان بيانات معقولة والحفاظ عليها بناءً على نوع البيانات التي يجمعونها وكيفية استخدامهم لتلك البيانات. إنهم لا يصفون نهجًا واحدًا يناسب الجميع.

لذا ، فقد حان الوقت لإجراء جرد لبياناتك وممارساتك الأمنية لتحديد ما إذا كانت "معقولة" في ضوء البيانات التي تجمعها وكيفية استخدامك لتلك البيانات ومشاركتها. يجدر إلقاء نظرة على دليل FTC's Start with Security وتحديد ما إذا كانت هذه الخطوات تنطبق عليك.

على وجه الخصوص ، تحث FTC الشركات التي تجمع البيانات الشخصية والحساسة على القيام بما يلي:

• اجعل شخصًا ما مسؤولاً عن الأمن.
• قم بتقييم البيانات التي تجمعها وتحتفظ بها.
• تدرب على تصغير البيانات : لا تجمع أو تخزن البيانات التي لا تحتاج إليها.
• ابحث وافهم ممارسات الأمان لمنصات الأجهزة المحمولة التي تعمل معها.
• حماية الخوادم الخاصة بك. إذا كنت تحتفظ بخادم يتصل بتطبيقك ، فاتخذ الإجراءات الأمنية المناسبة لحمايته. إذا كنت تعتمد على موفر خدمة سحابية تجارية ، فافهم أقسام المسؤولية عن تأمين وتحديث البرامج على الخادم.
• إذا كنت تتعامل مع البيانات المالية أو البيانات الصحية أو بيانات الأطفال ، فتأكد من فهمك للمعايير واللوائح المعمول بها . يمكنك العثور على مزيد من التفاصيل حول أنواع القوانين وأطر العمل التي تنطبق على الخصوصية والبيانات التي أطلقتها TUNE مؤخرًا .
• قدِّم إشعارًا بممارسات الأمان والبيانات والخصوصية الخاصة بك و "تحدث إلى المستخدمين بأسلوبك الخاص".
• إنشاء بيانات الاعتماد (أسماء المستخدمين وكلمات المرور) بشكل آمن.
• لا تخزن أو تنقل البيانات الحساسة بنص عادي . استخدم تشفير النقل لبيانات الفوترة والبيانات المهمة الأخرى. رفعت لجنة التجارة الفيدرالية (FTC) إجراءات ضد Lifelock و RockYou و ValueClick لتخزين ونقل البيانات بنص عادي.
• يعد تشفير النقل والتخزين أيضًا وثيق الصلة بالامتثال لقوانين انتهاك البيانات الحكومية - والتي تتطلب إبلاغ المدعي العام للولاية والمستخدمين النهائيين عند انتهاك "البيانات الشخصية". تتضمن البيانات الشخصية بموجب قوانين ولاية كاليفورنيا والولايات الأخرى بيانات غير مشفرة - بيانات مخزنة في نص عادي مثل معلومات بطاقة الائتمان وعنوان البريد الإلكتروني المخزن بكلمة مرور.
• استمر في المشاركة في تطبيقك بعد إطلاقه. تظهر نقاط ضعف جديدة يوميًا ، وحتى مكتبات البرامج الأكثر شهرة تتطلب تحديثات أمنية.

لذا ، ابدأ بالأمان

يُعد قرار الدائرة الثالثة ضد ويندهام تذكيرًا مهمًا بأن جميع الشركات التي تتعامل في البيانات الشخصية والحساسة يجب أن تراجع ممارسات البيانات والأمان الخاصة بها. يمكن أن يؤدي خرق هذه البيانات إلى مسؤولية FTC ، ودعاوى قضائية جماعية ، والأهم من ذلك فقدان الثقة مع المستخدمين النهائيين.

هل هذه مخاطرة أنت على استعداد لتحملها؟ إذا لم يكن الأمر كذلك ، فمن المنطقي "ابدأ بالأمان" اليوم.

مورد مهم إضافي:

إذا كنت ترغب في الحصول على مزيد من التفاصيل حول ما هو أمن البيانات "المعقول" وكيف يمكن تطبيقه على عملك ، فمن الجدير التحقق من "القانون العام للخصوصية" من قبل علماء الخصوصية المشهورين دان سولوف وودي هارتزوج. يستكشف كيف تمكنت FTC من تشكيل قانون الخصوصية الأمريكي الحديث من خلال "مراسيم الموافقة" ، أي التسويات التي تتطلب من الشركة القيام ببعض الأعمال المحددة لفترة زمنية محددة (عادةً 20 عامًا). يتضمن ذلك مرسوم الموافقة على أمان البيانات ضد Microsoft (بالنسبة إلى Passport) ؛ لدى الوكالة الآن مرسوم الموافقة على الخصوصية مع Facebook (على تغييرات سياسة الخصوصية لعام 2009) و Google (خلال إطلاق Buzz لعام 2010).

رصيد الصورة:dcillustrated

مثل هذا المقال؟ اشترك في مدونتنا رسائل البريد الإلكتروني.