La decisión de Wyndham nos recuerda "comenzar con la seguridad"

El ecosistema digital debe prestar atención a una decisión reciente del Tribunal de Apelaciones del Tercer Circuito de EE. UU. contra Wyndham Worldwide Corporation, que afirma el derecho de la FTC a regular la seguridad de los datos.

La autoridad de la FTC para regular la privacidad de los datos nunca ha estado en duda, dado el amplio mandato de la agencia bajo la sección 5 de la Ley de la FTC para supervisar la "protección del consumidor". Pero la autoridad de la FTC para prescribir prácticas de seguridad de datos ha sido cuestionada en casos que involucran a dos demandantes separados: Wyndham Hotels y Lab MD .

Antes de profundizar en el fallo y cómo se aplica a una empresa que recopila datos personales y confidenciales de los usuarios finales, repasemos los antecedentes relevantes.

El caso de la FTC contra Wyndham

Los piratas informáticos violaron los sistemas informáticos de Wyndham tres veces entre 2008 y 2010, robaron información de tarjetas de crédito de 619.000 personas e incurrieron en más de $10,6 millones en cargos fraudulentos. Estos sistemas incluían las redes corporativas de Wyndham, que estaban conectadas a los sistemas informáticos de más de 7000 hoteles y franquicias administrados por Wyndham. A pesar de estos repetidos ataques, Wyndham se negó a actualizar sus procedimientos de seguridad , lo que resultó en infiltraciones adicionales de sus sistemas.

Como resultado de no implementar estos procedimientos de seguridad básicos, los piratas informáticos pudieron instalar software malicioso de "raspado de memoria" en la red corporativa y los sistemas de administración de propiedades para los hoteles administrados y franquiciados de Wyndham. Durante un período de dos años, los piratas informáticos extrajeron sistemáticamente información personal y confidencial (nombres, direcciones, números de tarjetas de crédito) de más de 600 000 personas y exportaron ilegalmente esos datos a un dominio registrado en Rusia.

En respuesta, la FTC presentó una acción, argumentando que la negativa reiterada de Wyndham a implementar medidas razonables de seguridad de datos, mientras continuaba recopilando datos confidenciales y personales (incluida la tarjeta de crédito y otra información de facturación) de usuarios finales individuales, era "injusta" en virtud de la sección 5.

Además, la FTC descubrió que no adoptar estos procedimientos básicos de seguridad de datos era "engañoso" según la Sección 5, porque Wyndham prometió en su política de privacidad que usaría medidas de seguridad "estándar" para proteger los datos personales y confidenciales.

Puede obtener más información sobre los antecedentes del caso en esta excelente actualización de @JanisKestenbaum de Perkins Coie .

Cómo Wyndham no pudo asegurar su red

La queja de la FTC detalla algunas de las muchas cosas que Wyndham no hizo para proteger su red:

• no utilizar las medidas de seguridad fácilmente disponibles para proteger sus sistemas informáticos internos, por ejemplo, cortafuegos;
• configurar el software incorrectamente y, como resultado, almacenar la información de la tarjeta de crédito de los usuarios finales en texto claro;
• no abordar las vulnerabilidades de seguridad conocidas en los servidores;
• usar nombres de usuario y contraseñas predeterminados para acceder a los servidores;
• no exigir el uso de identificaciones de usuario y contraseñas complejas por parte de los empleados para acceder a los servidores de la empresa;
• no limitar razonablemente el acceso de terceros a las redes y computadoras de la empresa.

La FTC argumentó que tales prácticas eran estándar entre las empresas que recopilan datos personales y confidenciales, y que al no adoptar tales prácticas, incluso después de tres hackeos sucesivos, las acciones de Wyndham fueron injustas.

El Tercer Circuito Habla

En reacción a la acción de la FTC, Wyndham presentó una demanda en el tribunal de distrito alegando, entre otras cosas, que la FTC carecía de autoridad para iniciar una acción de seguridad de datos. También argumentó que la FTC no había identificado adecuadamente cuáles son las prácticas de seguridad de datos "razonables".

Después de perder este reclamo en la corte de distrito, Wyndham apeló al Tercer Circuito. El fallo del Tercer Circuito respondió con un fallo que es bastante crítico con Wyndham y proporciona motivos escasos para una apelación ante la Corte Suprema bajo el principio de “ certiorari ”.

La opinión del Tribunal respondió a dos cuestiones importantes planteadas por Wyndham:

1. La FTC tiene la autoridad en virtud de la Ley de la FTC para iniciar acciones de seguridad de datos contra empresas que no empleen prácticas de seguridad de datos "razonables".
2. La FTC ha proporcionado un aviso adecuado a la industria de lo que constituye una seguridad de datos "razonable" . Sobre este punto, el Tribunal analizó los argumentos de la FTC en numerosas presentaciones contra los demandados que habían protegido indebidamente los datos que habían recopilado de usuarios finales y clientes. También analizaron la guía publicada por la FTC, que se basa principalmente en las mejores prácticas de la industria para articular un estándar.

El Tercer Circuito no abordó la pregunta específica de si las acciones de Wyndham fueron realmente "irrazonables" según la orientación de la FTC; esa pregunta será abordada por el tribunal de distrito de Nueva Jersey, a quien ahora se remitió el caso.

Si ha llegado a este punto en la publicación, felicidades, aquí es donde las cosas se ponen interesantes y, con suerte, relevantes para usted.

¿Qué significa una seguridad de datos razonable para su empresa?

Según el análisis del Tercer Circuito, la FTC ha notificado a las empresas con suficiente antelación sobre aquellas prácticas que considerarían "razonables" cuando se trata de proteger datos personales y confidenciales, a través de acuerdos con numerosos demandados, así como guías publicadas para la industria.

De hecho, la FTC ha brindado orientación específica sobre prácticas de "seguridad de datos razonable" para desarrolladores de aplicaciones móviles en su guía Start with Security .

“No hay una lista de verificación para asegurar todas las aplicaciones. Diferentes aplicaciones tienen diferentes necesidades de seguridad. Por ejemplo, una aplicación de despertador que recopila poca o ninguna información probablemente generará menos consideraciones de seguridad que una red social basada en la ubicación. Las aplicaciones que son más complejas pueden depender de servidores remotos para almacenar y manipular los datos de los usuarios, lo que significa que los desarrolladores deben estar familiarizados con la seguridad del software, la seguridad de las transmisiones de datos y la seguridad de los servidores. Sumado al desafío: las amenazas de seguridad y las mejores prácticas evolucionan rápidamente”.

En otras palabras, la FTC espera que los desarrolladores de aplicaciones adopten y mantengan prácticas razonables de seguridad de datos según el tipo de datos que recopilan y cómo los utilizan. No prescriben un enfoque único para todos.

Por lo tanto, es un buen momento para hacer un inventario de sus datos y prácticas de seguridad para determinar si son "razonables" a la luz de los datos que recopila y cómo usa y comparte esos datos. Vale la pena echar un vistazo a la guía Start with Security de la FTC y determinar si estos pasos se aplican a usted.

En particular, la FTC insta a las empresas que recopilan datos personales y confidenciales a hacer lo siguiente:

• Hacer a alguien responsable de la seguridad.
• Haga un balance de los datos que recopila y conserva.
• Practique la minimización de datos : no recopile ni almacene datos que no necesita.
• Investigue y comprenda las prácticas de seguridad de las plataformas móviles con las que trabaja.
• Proteja sus servidores. Si mantiene un servidor que se comunica con su aplicación, tome las medidas de seguridad adecuadas para protegerlo. Si confía en un proveedor de nube comercial, comprenda las divisiones de responsabilidad para asegurar y actualizar el software en el servidor.
• Si está tratando con datos financieros, datos de salud o datos de niños, asegúrese de comprender las normas y regulaciones aplicables . Puede encontrar más detalles sobre los tipos de leyes y marcos de la industria que se aplican en el micrositio de datos y privacidad lanzado recientemente por TUNE .
• Proporcione un aviso de sus prácticas de seguridad, datos y privacidad y “hable con sus usuarios con sus propias palabras”.
• Genere credenciales (nombres de usuario, contraseñas) de forma segura.
• No almacene ni transmita datos confidenciales en texto sin formato . Utilice el cifrado de tránsito para los datos de facturación y otros datos importantes. La FTC ha iniciado acciones contra Lifelock, RockYou y ValueClick por el almacenamiento y la transmisión de datos de texto sin formato.
• El cifrado de tránsito y almacenamiento también es relevante para cumplir con los estatutos estatales de violación de datos , que requieren que informe al fiscal general del estado y a los usuarios finales cuando se violan los "datos personales". Los datos personales según las leyes de California y otros estados incluyen datos no cifrados: datos almacenados en texto sin formato, por ejemplo, información de tarjeta de crédito, dirección de correo electrónico almacenada con contraseña.
• Manténgase involucrado con su aplicación después de su lanzamiento. Diariamente surgen nuevas vulnerabilidades, e incluso las bibliotecas de software de mayor reputación requieren actualizaciones de seguridad.

Entonces, comience con la seguridad

La decisión del Tercer Circuito contra Wyndham es un recordatorio importante de que todas las empresas que manejan datos personales y confidenciales deben revisar sus datos y prácticas de seguridad. Una violación de dichos datos puede dar lugar a la responsabilidad de la FTC, demandas colectivas y, lo que es más importante, la pérdida de confianza con sus usuarios finales.

¿Es este un riesgo que estás dispuesto a correr? Si no es así, entonces tiene sentido "Comenzar con la seguridad" hoy.

Un recurso adicional importante:

Si desea obtener aún más detalles sobre qué es la seguridad de datos "razonable" y cómo podría aplicarse a su negocio, entonces vale la pena consultar "La ley común de privacidad" de los destacados académicos de privacidad Dan Solove y Woody Hartzog. Explora cómo la FTC ha podido dar forma a la ley de privacidad moderna de EE. UU. a través de "decretos de consentimiento" , es decir, acuerdos que requieren que la empresa realice ciertos actos específicos durante un período de tiempo determinado (generalmente 20 años). Esto incluye un decreto de consentimiento de seguridad de datos contra Microsoft (para Passport); la agencia ahora tiene decretos de consentimiento de privacidad con Facebook (sobre los cambios en su política de privacidad de 2009) y Google (sobre el lanzamiento de Buzz en 2010).

Crédito de la foto: @dcillustrated

¿Te gusta este artículo? Regístrese para recibir los correos electrónicos de resumen de nuestro blog.