Decizia Wyndham ne reamintește să „începem cu securitatea”

Ecosistemul digital ar trebui să acorde atenție unei decizii recente a Curții de Apel din al treilea circuit din SUA împotriva Wyndham Worldwide Corporation, care afirmă dreptul FTC de a reglementa securitatea datelor.

Autoritatea FTC de a reglementa confidențialitatea datelor nu a fost niciodată pusă la îndoială, având în vedere mandatul larg al agenției în temeiul secțiunii 5 din Legea FTC de a supraveghea „protecția consumatorului”. Dar autoritatea FTC de a prescrie practici de securitate a datelor a fost pusă la îndoială în cazurile care implică doi reclamanți separați – Wyndham Hotels și Lab MD .

Înainte de a aprofunda hotărârea și modul în care se aplică unei companii care colectează date sensibile și personale de la utilizatorii finali, haideți să revizuim contextul relevant.

Cazul FTC împotriva lui Wyndham

Hackerii au încălcat sistemele informatice ale Wyndham de trei ori între 2008 și 2010, furând informații despre cardul de credit de la 619.000 de persoane și încasând peste 10,6 milioane de dolari în taxe frauduloase. Aceste sisteme includeau rețelele corporative ale Wyndham, care erau conectate la sisteme informatice pentru peste 7.000 de hoteluri și francizați administrați de Wyndham. În ciuda acestor hack-uri repetate, Wyndham a refuzat să-și actualizeze procedurile de securitate – ducând la infiltrații suplimentare în sistemele sale.

Ca urmare a neimplementarii acestor proceduri de securitate de bază, hackerii au reușit să instaleze programe malware de „răpire a memoriei” pe rețelele corporative și sistemele de gestionare a proprietăților pentru hotelurile administrate și francizate Wyndham. Pe o perioadă de doi ani, hackerii au extras sistematic informații personale și sensibile (nume, adrese, numere de card de credit) pentru peste 600.000 de persoane și au exportat ilegal acele date către un domeniu înregistrat în Rusia.

Ca răspuns, FTC a depus o acțiune, argumentând că refuzul repetat al Wyndham de a implementa măsuri rezonabile de securitate a datelor, în timp ce a continuat să colecteze date sensibile și personale (inclusiv informații despre cardul de credit și alte informații de facturare) de la utilizatorii finali individuali, a fost „nedrept” conform secțiunii 5.

În plus, FTC a constatat că neadoptarea acestor proceduri de bază de securitate a datelor a fost „înșelătoare” conform Secțiunii 5, deoarece Wyndham a promis în politica sa de confidențialitate că va folosi măsuri de securitate „standard” pentru a proteja datele personale și sensibile.

Puteți afla mai multe despre fundalul cazului în această actualizare excelentă a lui @JanisKestenbaum de la Perkins Coie .

Cum nu a reușit Wyndham să-și securizeze rețeaua

Plângerea FTC detaliază câteva dintre multele lucruri pe care Wyndham nu le-a făcut pentru a-și securiza rețeaua:

• neutilizarea măsurilor de securitate disponibile pentru a-și securiza sistemele computerizate interne, de exemplu firewall-uri;
• configurarea incorect a software-ului și, ca rezultat, stocarea informațiilor despre cardul de credit al utilizatorilor finali în text clar;
• nerezolvarea vulnerabilităților de securitate cunoscute pe servere;
• utilizarea numelor de utilizator și parolelor implicite pentru accesul la servere;
• nereușirea să solicite folosirea de către angajați a ID-urilor și parolelor complexe pentru a accesa serverele companiei;
• nelimitarea în mod rezonabil a accesului terților la rețelele și computerele companiei.

FTC a susținut că astfel de practici erau standard în rândul companiilor care colectau date personale și sensibile – și că, prin neadoptarea unor astfel de practici, chiar și după trei hack-uri succesive, acțiunile Wyndham au fost neloiale.

Al treilea circuit vorbește

Ca reacție la acțiunea FTC, Wyndham a intentat o acțiune în instanța districtuală, susținând, printre altele, că FTC nu are autoritatea de a introduce o acțiune de securitate a datelor. De asemenea, a susținut că FTC nu a identificat în mod adecvat care sunt practicile „rezonabile” de securitate a datelor.

După ce a pierdut această cerere în tribunalul districtual, Wyndham a făcut apel la al treilea circuit. Hotărârea din al treilea circuit a răspuns printr-o hotărâre care este destul de critică la adresa Wyndham și oferă motive reduse pentru un recurs la Curtea Supremă în temeiul principiului „ Certiorari ”.

Avizul Curții a răspuns la două întrebări importante ridicate de Wyndham:

1. FTC are autoritatea conform Legii FTC de a introduce acțiuni de securitate a datelor împotriva companiilor care nu folosesc practici „rezonabile” de securitate a datelor.
2. FTC a furnizat o notificare adecvată industriei cu privire la ceea ce constituie securitatea „rezonabilă” a datelor . În acest punct, Curtea a analizat argumentele FTC în numeroase dosare împotriva inculpaților care au asigurat în mod necorespunzător datele pe care le-au colectat de la utilizatorii finali și clienții. Ei au analizat, de asemenea, ghidurile publicate de FTC, care se bazează în primul rând pe cele mai bune practici din industrie pentru a articula un standard.

Al treilea circuit nu a abordat întrebarea specifică dacă acțiunile Wyndham au fost într-adevăr „nerezonabile” pe baza îndrumărilor FTC - această întrebare va fi adresată de tribunalul districtual din New Jersey, căruia cauza a fost trimisă acum.

Dacă ai ajuns în acest punct în postare, atunci felicitări, aici lucrurile devin interesante și, sperăm, relevante pentru tine.

Ce înseamnă securitatea rezonabilă a datelor pentru afacerea dvs.?

În conformitate cu analiza celui de-al treilea circuit, FTC a dat companiilor suficientă atenție cu privire la acele practici pe care le-ar considera „rezonabile” atunci când vine vorba de securizarea datelor personale și sensibile – prin înțelegeri cu numeroși acuzați, precum și îndrumări publicate pentru industrie.

De fapt, FTC a oferit îndrumări specifice privind practicile de „securitate rezonabilă a datelor” pentru dezvoltatorii de aplicații mobile în ghidul său Start with Security .

„Nu există nicio listă de verificare pentru securizarea tuturor aplicațiilor. Diferite aplicații au nevoi de securitate diferite. De exemplu, o aplicație cu ceas cu alarmă care colectează puține date sau deloc va ridica probabil mai puține considerații de securitate decât o rețea socială bazată pe locație. Aplicațiile care sunt mai complexe se pot baza pe servere la distanță pentru stocarea și manipularea datelor utilizatorilor, ceea ce înseamnă că dezvoltatorii trebuie să fie familiarizați cu securizarea software-ului, securizarea transmisiilor de date și securizarea serverelor. Adăugând provocării: amenințările de securitate și cele mai bune practici evoluează rapid.”

Cu alte cuvinte, FTC se așteaptă ca dezvoltatorii de aplicații să adopte și să mențină practici rezonabile de securitate a datelor pe baza tipului de date pe care le colectează și a modului în care le folosesc. Ei nu prescriu o abordare unică pentru toate.

Prin urmare, este un moment bun să faceți un inventar al datelor și practicilor dvs. de securitate pentru a determina dacă acestea sunt „rezonabile” în lumina datelor pe care le colectați și a modului în care utilizați și partajați acele date. Merită să aruncați o privire la ghidul FTC Începeți cu securitatea și să determinați dacă acești pași se aplică în cazul dvs.

În special, FTC îndeamnă companiile care colectează date personale și sensibile să facă următoarele:

• Faceți pe cineva responsabil pentru securitate.
• Faceți un bilanț al datelor pe care le colectați și le păstrați.
• Practicați minimizarea datelor : nu colectați și nu stocați date de care nu aveți nevoie.
• Cercetați și înțelegeți practicile de securitate ale platformelor mobile cu care lucrați.
• Protejați-vă serverele. Dacă întrețineți un server care comunică cu aplicația dvs., luați măsurile de securitate adecvate pentru ao proteja. Dacă vă bazați pe un furnizor de cloud comercial, înțelegeți diviziunile de responsabilitate pentru securizarea și actualizarea software-ului pe server.
• Dacă aveți de-a face cu date financiare, date de sănătate sau date despre copii, asigurați-vă că înțelegeți standardele și reglementările aplicabile . Puteți găsi mai multe detalii despre tipurile de legi și cadrele industriale care se aplică pe microsite-ul de confidențialitate și date lansat recent de TUNE .
• Furnizați o notificare cu privire la practicile dvs. de securitate, date și confidențialitate și „vorbește cu utilizatorii cu propriile tale cuvinte”.
• Generați acreditări (nume de utilizator, parole) în siguranță.
• Nu stocați și nu transportați date sensibile în text simplu . Utilizați criptarea de tranzit pentru datele de facturare și alte date importante. FTC a introdus acțiuni împotriva Lifelock, RockYou și ValueClick pentru stocarea și transmiterea datelor în text simplu.
• Criptarea de tranzit și stocare este, de asemenea, relevantă pentru conformitatea cu statutele de stat privind încălcarea datelor – care impun să raportați procurorului general al statului și utilizatorilor finali atunci când „datele personale” sunt încălcate. Datele personale în conformitate cu legile din California și din alte state includ date necriptate – date stocate în text simplu, de exemplu informații despre cardul de credit, adresa de e-mail stocată cu parolă.
• Rămâneți implicat în aplicația dvs. după lansare. Noi vulnerabilități apar zilnic și chiar și cele mai reputate biblioteci de software necesită actualizări de securitate.

Deci, începeți cu securitatea

Decizia din al treilea circuit împotriva lui Wyndham este un memento important că toate companiile care se ocupă de date personale și sensibile ar trebui să își revizuiască datele și practicile de securitate. O încălcare a unor astfel de date poate duce la răspunderea FTC, la procese colective și, cel mai important, la pierderea încrederii cu utilizatorii finali.

Este acesta un risc pe care ești dispus să-l asumi? Dacă nu, atunci are sens să „Începeți cu securitatea” astăzi.

O resursă importantă suplimentară:

Dacă doriți să obțineți și mai multe detalii despre ceea ce este securitatea „rezonabilă” a datelor și cum s-ar putea aplica afacerii dvs., atunci merită să consultați „Legea comună a confidențialității” a specialiștilor Dan Solove și Woody Hartzog. Acesta explorează modul în care FTC a reușit să modeleze legea modernă privind confidențialitatea din SUA prin „decrete de consimțământ” , adică acorduri care impun companiei să facă anumite acte specifice pentru o perioadă de timp stabilită (de obicei 20 de ani). Aceasta include un decret de consimțământ privind securitatea datelor împotriva Microsoft (pentru Passport); Agenția are acum decrete privind consimțământul privind confidențialitatea cu Facebook (pe marginea modificărilor politicii de confidențialitate din 2009) și Google (la lansarea Buzz în 2010).

Credit foto: @dcillustrated

Vă place acest articol? Înscrieți-vă pentru e-mailurile cu rezumatul blogului nostru.