La decisione di Wyndham ci ricorda di "iniziare con la sicurezza"

Pubblicato: 2015-09-01

L'ecosistema digitale dovrebbe prestare attenzione a una recente decisione della Corte d'Appello del Terzo Circuito statunitense contro Wyndham Worldwide Corporation, che afferma il diritto della FTC di regolamentare la sicurezza dei dati.

L'autorità della FTC di regolamentare la privacy dei dati non è mai stata messa in dubbio, dato l'ampio mandato dell'agenzia ai sensi della sezione 5 della legge FTC di vigilare sulla "protezione dei consumatori". Ma l'autorità della FTC di prescrivere pratiche di sicurezza dei dati è stata messa in discussione in casi che coinvolgono due querelanti separati: Wyndham Hotels e Lab MD .

Prima di approfondire la sentenza e come si applica a un'azienda che raccoglie dati sensibili e personali dagli utenti finali, esaminiamo il contesto pertinente.

Il caso della FTC contro Wyndham

Gli hacker hanno violato i sistemi informatici di Wyndham tre volte tra il 2008 e il 2010, rubando informazioni sulla carta di credito a 619.000 persone e incorrendo in accuse fraudolente per oltre 10,6 milioni di dollari. Questi sistemi includevano le reti aziendali di Wyndham, che erano collegate ai sistemi informatici di oltre 7.000 hotel e franchisee gestiti da Wyndham. Nonostante questi ripetuti hack, Wyndham ha rifiutato di aggiornare le sue procedure di sicurezza, provocando ulteriori infiltrazioni nei suoi sistemi.

In conseguenza della mancata implementazione di queste procedure di sicurezza di base, gli hacker sono stati in grado di installare malware di "scraping della memoria" sulla rete aziendale e sui sistemi di gestione delle proprietà per gli hotel gestiti e in franchising Wyndham. In un periodo di due anni, gli hacker hanno estratto sistematicamente informazioni personali e sensibili (nomi, indirizzi, numeri di carte di credito) per oltre 600.000 persone ed esportato illegalmente tali dati in un dominio registrato in Russia.

In risposta, la FTC ha intentato un'azione, sostenendo che il ripetuto rifiuto di Wyndham di attuare ragionevoli misure di sicurezza dei dati, pur continuando a raccogliere dati sensibili e personali (incluse carte di credito e altre informazioni di fatturazione) da singoli utenti finali, era "ingiusto" ai sensi della sezione 5.

Inoltre, la FTC ha ritenuto che la mancata adozione di queste procedure di sicurezza dei dati di base fosse "ingannevole" ai sensi della Sezione 5, perché Wyndham ha promesso nella sua politica sulla privacy che avrebbe utilizzato misure di sicurezza "standard" per salvaguardare i dati personali e sensibili.

Puoi saperne di più sul background del caso in questo eccellente aggiornamento di @JanisKestenbaum di Perkins Coie .

Come Wyndham non è riuscito a proteggere la sua rete

Il reclamo FTC descrive in dettaglio alcune delle molte cose che Wyndham non ha fatto per proteggere la sua rete:

  • non utilizzare le misure di sicurezza prontamente disponibili per proteggere i propri sistemi informatici interni, ad esempio i firewall;
  • configurare il software in modo errato e, di conseguenza, memorizzare le informazioni sulla carta di credito degli utenti finali in chiaro;
  • non riuscendo ad affrontare le vulnerabilità di sicurezza note sui server;
  • utilizzando nomi utente e password predefiniti per l'accesso ai server;
  • non richiedere l'uso di ID utente e password complessi da parte dei dipendenti per accedere ai server aziendali;
  • non riuscendo a limitare ragionevolmente l'accesso di terzi alle reti e ai computer dell'azienda.

La FTC ha affermato che tali pratiche erano standard tra le aziende che raccolgono dati personali e sensibili e che non adottando tali pratiche, anche dopo tre hack successivi, le azioni di Wyndham erano ingiuste.

Il Terzo Circuito Parla

In reazione all'azione della FTC, Wyndham ha intentato una causa presso il tribunale distrettuale sostenendo, tra le altre cose, che la FTC non aveva l'autorità per avviare un'azione per la sicurezza dei dati. Ha inoltre affermato che l'FTC non aveva identificato adeguatamente quali sono le pratiche "ragionevoli" per la sicurezza dei dati.

Dopo aver perso questa affermazione in tribunale distrettuale, Wyndham ha presentato ricorso al Terzo Circuito. La sentenza del Terzo Circuito ha risposto con una sentenza piuttosto critica nei confronti di Wyndham e fornisce scarsi motivi per un ricorso della Corte Suprema secondo il principio di " Certiorari ".

Il parere della Corte ha risposto a due importanti questioni sollevate da Wyndham:

  1. La FTC ha l'autorità ai sensi della legge FTC di avviare azioni di sicurezza dei dati contro le aziende che non utilizzano pratiche di sicurezza dei dati "ragionevoli".
  2. La FTC ha fornito un avviso adeguato all'industria di ciò che costituisce una sicurezza dei dati "ragionevole" . Su questo punto, la Corte ha esaminato le argomentazioni della FTC in numerosi atti contro convenuti che avevano protetto in modo improprio i dati che avevano raccolto da utenti finali e clienti. Hanno anche esaminato le linee guida pubblicate dalla FTC, che si basano principalmente sulle migliori pratiche del settore per articolare uno standard.

Il Terzo Circuito non ha affrontato la questione specifica se le azioni di Wyndham fossero effettivamente "irragionevoli" sulla base della guida dell'FTC - quella domanda sarà affrontata dal tribunale distrettuale del New Jersey a cui il caso è stato ora rinviato.

Se hai raggiunto questo punto nel post, allora congratulazioni, è qui che le cose si fanno interessanti e, si spera, rilevanti per te.

Cosa significa una ragionevole sicurezza dei dati per la tua azienda?

Secondo l'analisi del Terzo Circuito, la FTC ha informato le aziende di quelle pratiche che considererebbero "ragionevoli" quando si tratta di proteggere i dati personali e sensibili, attraverso accordi con numerosi imputati, oltre a linee guida pubblicate per l'industria.

In effetti, l'FTC ha fornito una guida specifica sulle pratiche di "sicurezza dei dati ragionevole" per gli sviluppatori di app mobili nella sua guida Inizia con la sicurezza .

“Non esiste una lista di controllo per la protezione di tutte le app. App diverse hanno esigenze di sicurezza diverse. Ad esempio, un'app sveglia che raccoglie pochi o nessun dato solleverà probabilmente meno considerazioni sulla sicurezza rispetto a un social network basato sulla posizione. Le app più complesse possono fare affidamento su server remoti per l'archiviazione e la manipolazione dei dati degli utenti, il che significa che gli sviluppatori devono avere familiarità con la protezione del software, la protezione della trasmissione di dati e la protezione dei server. In aggiunta alla sfida: le minacce alla sicurezza e le best practice si evolvono rapidamente".

In altre parole, la FTC si aspetta che gli sviluppatori di app adottino e mantengano pratiche ragionevoli di sicurezza dei dati in base al tipo di dati che stanno raccogliendo e al modo in cui li utilizzano. Non prescrivono un approccio valido per tutti.

Quindi è un buon momento per fare un inventario dei tuoi dati e delle pratiche di sicurezza per determinare se sono "ragionevoli" alla luce dei dati che raccogli e come li usi e condividi. Vale la pena dare un'occhiata alla guida Inizia con la sicurezza di FTC e determinare se questi passaggi si applicano al tuo caso.

In particolare, la FTC esorta le aziende che raccolgono dati personali e sensibili a:

  • Affidati a qualcuno di responsabile della sicurezza.
  • Fai il punto sui dati che raccogli e conservi.
  • Esercitati sulla minimizzazione dei dati : non raccogliere o archiviare dati che non ti servono.
  • Ricerca e comprendi le pratiche di sicurezza delle piattaforme mobili con cui lavori.
  • Proteggi i tuoi server. Se gestisci un server che comunica con la tua app, prendi le misure di sicurezza appropriate per proteggerla. Se ti affidi a un provider cloud commerciale, comprendi le divisioni di responsabilità per la protezione e l'aggiornamento del software sul server.
  • Se hai a che fare con dati finanziari, dati sanitari o dati relativi ai bambini, assicurati di aver compreso gli standard e le normative applicabili . Puoi trovare maggiori dettagli sui tipi di leggi e quadri di settore che si applicano sul microsito sulla privacy e sui dati lanciato di recente da TUNE .
  • Fornisci un avviso sulle tue pratiche di sicurezza, dati e privacy e "parla con i tuoi utenti con parole tue".
  • Genera credenziali (nomi utente, password) in modo sicuro.
  • Non archiviare o trasferire dati sensibili in testo normale . Utilizza la crittografia del transito per i dati di fatturazione e altri dati importanti. La FTC ha intentato azioni contro Lifelock, RockYou e ValueClick per l'archiviazione e la trasmissione di dati in chiaro.
  • La crittografia del transito e dell'archiviazione è importante anche per la conformità con gli statuti statali sulla violazione dei dati , che richiedono la segnalazione al procuratore generale dello stato e agli utenti finali in caso di violazione dei "dati personali". I dati personali ai sensi delle leggi della California e di altri stati includono dati non crittografati: dati archiviati in chiaro, ad esempio informazioni sulla carta di credito, indirizzo e-mail memorizzato con password.
  • Rimani coinvolto con la tua app dopo l'avvio. Ogni giorno emergono nuove vulnerabilità e anche le librerie software più affidabili richiedono aggiornamenti di sicurezza.

Quindi, inizia con la sicurezza

La decisione del Terzo Circuito contro Wyndham è un importante promemoria che tutte le aziende che si occupano di dati personali e sensibili dovrebbero rivedere i propri dati e le pratiche di sicurezza. Una violazione di tali dati può portare a responsabilità FTC, azioni collettive e, soprattutto, alla perdita di fiducia con gli utenti finali.

È un rischio che sei disposto a correre? In caso contrario, ha senso "Inizia con la sicurezza" oggi.

Un'ulteriore importante risorsa:

Se vuoi essere ancora più dettagliato su ciò che è "ragionevole" la sicurezza dei dati e su come potrebbe applicarsi alla tua attività, allora vale la pena dare un'occhiata a "The Common Law of Privacy" dei noti studiosi di privacy Dan Solove e Woody Hartzog. Esplora come la FTC sia stata in grado di plasmare la moderna legge sulla privacy degli Stati Uniti attraverso "decreti di consenso" , ovvero accordi che richiedono all'azienda di compiere determinati atti specifici per un determinato periodo di tempo (di solito 20 anni). Ciò include un decreto di consenso sulla sicurezza dei dati contro Microsoft (per Passport); l'agenzia ha ora decreti di consenso alla privacy con Facebook (dopo le modifiche alla politica sulla privacy del 2009) e Google (dopo il lancio nel 2010 di Buzz).

Credito fotografico: @dcillustrated

Ti piace questo articolo? Iscriviti alle nostre e-mail di riepilogo del blog.