Decisão da Wyndham nos lembra de “começar com segurança”

O ecossistema digital deve prestar atenção a uma decisão recente do Tribunal de Apelações do Terceiro Circuito dos EUA contra a Wyndham Worldwide Corporation, que afirma o direito da FTC de regular a segurança de dados.

A autoridade da FTC para regular a privacidade de dados nunca esteve em dúvida, dado o amplo mandato da agência sob a seção 5 da FTC Act para supervisionar a “proteção do consumidor”. Mas a autoridade da FTC para prescrever práticas de segurança de dados foi questionada em casos envolvendo dois demandantes distintos – Wyndham Hotels e Lab MD .

Antes de nos aprofundarmos na decisão e como ela se aplica a uma empresa que coleta dados confidenciais e pessoais de usuários finais, vamos analisar os antecedentes relevantes.

O caso da FTC contra Wyndham

Os hackers invadiram os sistemas de computador da Wyndham três vezes entre 2008 e 2010, roubando informações de cartão de crédito de 619.000 indivíduos e incorrendo em mais de US$ 10,6 milhões em cobranças fraudulentas. Esses sistemas incluíam as redes corporativas da Wyndham, que estavam ligadas a sistemas de computador para mais de 7.000 hotéis e franqueados gerenciados pela Wyndham. Apesar desses ataques repetidos, a Wyndham se recusou a atualizar seus procedimentos de segurança – resultando em infiltrações adicionais em seus sistemas.

Como resultado da não implementação desses procedimentos básicos de segurança, os hackers conseguiram instalar malware de “raspagem de memória” na rede corporativa e nos sistemas de gerenciamento de propriedades para hotéis gerenciados e franqueados da Wyndham. Durante um período de dois anos, os hackers extraíram sistematicamente informações pessoais e confidenciais (nomes, endereços, números de cartão de crédito) de mais de 600.000 indivíduos e exportaram ilegalmente esses dados para um domínio registrado na Rússia.

Em resposta, a FTC entrou com uma ação, argumentando que a recusa repetida da Wyndham em implementar medidas razoáveis ​​de segurança de dados, enquanto continuava a coletar dados confidenciais e pessoais (incluindo cartão de crédito e outras informações de cobrança) de usuários finais individuais, era “injusta” de acordo com a seção 5.

Além disso, a FTC descobriu que não adotar esses procedimentos básicos de segurança de dados era “enganoso” na Seção 5, porque a Wyndham prometeu em sua política de privacidade que usaria medidas de segurança “padrão” para proteger dados pessoais e confidenciais.

Você pode aprender mais sobre os antecedentes do caso nesta excelente atualização de @JanisKestenbaum da Perkins Coie .

Como a Wyndham falhou em proteger sua rede

A reclamação da FTC detalha algumas das muitas coisas que a Wyndham não fez para proteger sua rede:

• deixar de usar medidas de segurança prontamente disponíveis para proteger seus sistemas internos de computador, por exemplo, firewalls;
• configurar o software incorretamente e, como resultado, armazenar as informações do cartão de crédito dos usuários finais em texto não criptografado;
• falha em resolver vulnerabilidades de segurança conhecidas em servidores;
• usar nomes de usuário e senhas padrão para acesso aos servidores;
• não exigir o uso de IDs de usuário e senhas complexas pelos funcionários para acessar os servidores da empresa;
• deixar de limitar razoavelmente o acesso de terceiros às redes e computadores da empresa.

A FTC argumentou que tais práticas eram padrão entre as empresas que coletam dados pessoais e confidenciais – e que ao não adotar tais práticas, mesmo após três hacks sucessivos, as ações de Wyndham foram injustas.

O Terceiro Circuito Fala

Em reação à ação da FTC, Wyndham entrou com uma ação no tribunal distrital alegando, entre outras coisas, que a FTC não tinha autoridade para propor uma ação de segurança de dados. Também argumentou que a FTC não havia identificado adequadamente quais são as práticas “razoáveis” de segurança de dados.

Depois de perder essa reivindicação no tribunal distrital, Wyndham apelou para o Terceiro Circuito. A decisão do Terceiro Circuito respondeu com uma decisão que é bastante crítica a Wyndham e fornece poucos fundamentos para um recurso da Suprema Corte sob o princípio de “ Certiorari ”.

A opinião do Tribunal respondeu a duas questões importantes levantadas por Wyndham:

1. A FTC tem autoridade sob a Lei FTC para propor ações de segurança de dados contra empresas que não empregam práticas de segurança de dados “razoáveis”.
2. A FTC forneceu aviso adequado à indústria sobre o que constitui segurança de dados “razoável” . Nesse ponto, o Tribunal examinou os argumentos da FTC em vários processos contra réus que haviam protegido indevidamente dados coletados de usuários finais e clientes. Eles também analisaram a orientação publicada da FTC, que se baseia principalmente nas melhores práticas do setor para articular um padrão.

O Terceiro Circuito não abordou a questão específica de saber se as ações de Wyndham eram de fato “irracionais” com base na orientação da FTC – essa questão será abordada pelo tribunal distrital de Nova Jersey, a quem o caso foi reenviado.

Se você chegou a este ponto no post, parabéns, é aqui que as coisas ficam interessantes e, esperamos, relevantes para você.

O que significa segurança de dados razoável para o seu negócio?

Sob a análise do Terceiro Circuito, a FTC notificou as empresas o suficiente sobre essas práticas que elas considerariam “razoáveis” quando se trata de proteger dados pessoais e confidenciais – por meio de acordos com vários réus, bem como orientações publicadas para o setor.

Na verdade, a FTC forneceu orientações específicas sobre práticas de “segurança de dados razoável” para desenvolvedores de aplicativos móveis em seu guia Start with Security .

“Não há lista de verificação para proteger todos os aplicativos. Diferentes aplicativos têm diferentes necessidades de segurança. Por exemplo, um aplicativo de despertador que coleta pouco ou nenhum dado provavelmente levantará menos considerações de segurança do que uma rede social baseada em localização. Aplicativos mais complexos podem depender de servidores remotos para armazenar e manipular os dados dos usuários, o que significa que os desenvolvedores devem estar familiarizados com a proteção de software, transmissão de dados e servidores seguros. Aumentando o desafio: as ameaças de segurança e as melhores práticas evoluem rapidamente.”

Em outras palavras, a FTC espera que os desenvolvedores de aplicativos adotem e mantenham práticas razoáveis ​​de segurança de dados com base no tipo de dados que estão coletando e como usam esses dados. Eles não prescrevem uma abordagem de tamanho único.

Portanto, é um bom momento para fazer um inventário de seus dados e práticas de segurança para determinar se eles são “razoáveis” à luz dos dados que você coleta e como você usa e compartilha esses dados. Vale a pena dar uma olhada no guia Start with Security da FTC e determinar se essas etapas se aplicam a você.

Em particular, a FTC insta as empresas que coletam dados pessoais e confidenciais a fazer o seguinte:

• Faça alguém responsável pela segurança.
• Faça um balanço dos dados que você coleta e retém.
• Pratique a minimização de dados : não colete ou armazene dados desnecessários.
• Pesquise e entenda as práticas de segurança das plataformas móveis com as quais você trabalha.
• Proteja seus servidores. Se você mantém um servidor que se comunica com seu aplicativo, tome as medidas de segurança adequadas para protegê-lo. Se você confia em um provedor de nuvem comercial, entenda as divisões de responsabilidade para proteger e atualizar o software no servidor.
• Se você estiver lidando com dados financeiros, dados de saúde ou dados de crianças, certifique-se de entender os padrões e regulamentos aplicáveis ​​. Você pode encontrar mais detalhes sobre os tipos de leis e estruturas do setor que se aplicam no microsite de privacidade e dados lançado recentemente pela TUNE .
• Informe suas práticas de segurança, dados e privacidade e “fale com seus usuários com suas próprias palavras”.
• Gere credenciais (nomes de usuário, senhas) com segurança.
• Não armazene ou transfira dados confidenciais em texto simples . Use a criptografia de trânsito para dados de cobrança e outros dados importantes. A FTC moveu ações contra Lifelock, RockYou e ValueClick por armazenamento e transmissão de dados em texto simples.
• A criptografia de trânsito e armazenamento também é relevante para a conformidade com os estatutos estaduais de violação de dados – que exigem que você relate ao Procurador Geral do estado e aos usuários finais quando “dados pessoais” forem violados. Dados pessoais sob as leis da Califórnia e outros estados incluem dados não criptografados – dados armazenados em texto simples, por exemplo, informações de cartão de crédito, endereço de e-mail armazenado com senha.
• Mantenha-se envolvido com seu aplicativo após o lançamento. Novas vulnerabilidades surgem diariamente e até mesmo as bibliotecas de software mais respeitáveis ​​exigem atualizações de segurança.

Então, comece com segurança

A decisão do Terceiro Circuito contra a Wyndham é um lembrete importante de que todas as empresas que lidam com dados pessoais e confidenciais devem revisar seus dados e práticas de segurança. Uma violação desses dados pode levar à responsabilidade da FTC, ações judiciais coletivas e, o mais importante, à perda de confiança com seus usuários finais.

Este é um risco que você está disposto a correr? Se não, então faz sentido “Começar com Segurança” hoje.

Um recurso adicional importante:

Se você deseja obter ainda mais detalhes sobre o que é segurança de dados “razoável” e como ela pode se aplicar ao seu negócio, vale a pena conferir a “Lei Comum da Privacidade” dos renomados estudiosos de privacidade Dan Solove e Woody Hartzog. Ele explora como a FTC conseguiu moldar a moderna lei de privacidade dos EUA por meio de “decretos de consentimento” , ou seja, acordos que exigem que a empresa faça certos atos específicos por um determinado período de tempo (geralmente 20 anos). Isso inclui um decreto de consentimento de segurança de dados contra a Microsoft (para Passport); a agência agora tem decretos de consentimento de privacidade com o Facebook (sobre suas mudanças na política de privacidade de 2009) e com o Google (sobre o lançamento do Buzz em 2010).

Crédito da foto: @dcillustration

Gostou deste artigo? Inscreva-se para receber nossos e-mails de resumo do blog.