Wyndham Kararı Bize “Güvenlikle Başlamayı” Hatırlatıyor

Yayınlanan: 2015-09-01

Dijital ekosistem , ABD Üçüncü Devre Temyiz Mahkemesi'nin Wyndham Worldwide Corporation'a karşı FTC'nin veri güvenliğini düzenleme hakkını onaylayan yakın tarihli bir kararına dikkat etmelidir .

Ajansın FTC Yasası'nın 5. bölümü altındaki “tüketici korumasını” denetleme konusundaki geniş yetkisi göz önüne alındığında, FTC'nin veri gizliliğini düzenleme yetkisi hiçbir zaman şüpheye yer bırakmamıştır. Ancak, Wyndham Hotels ve Lab MD olmak üzere iki ayrı davacıyı içeren davalarda FTC'nin veri güvenliği uygulamalarını öngörme yetkisi sorgulanmıştır .

Kararı ve son kullanıcılardan hassas ve kişisel veriler toplayan bir şirket için nasıl geçerli olduğunu incelemeden önce, ilgili arka planı gözden geçirelim.

FTC'nin Wyndham'a açtığı dava

Bilgisayar korsanları, 2008 ve 2010 yılları arasında Wyndham'ın bilgisayar sistemlerini üç kez ihlal ederek 619.000 kişiden kredi kartı bilgilerini çaldı ve 10.6 milyon doların üzerinde dolandırıcılık suçlamasına maruz kaldı. Bu sistemler, Wyndham'ın 7.000'den fazla Wyndham tarafından yönetilen otel ve franchise için bilgisayar sistemlerine bağlı kurumsal ağlarını içeriyordu. Tekrarlanan bu saldırılara rağmen, Wyndham güvenlik prosedürlerini güncellemeyi reddetti ve bu da sistemlerine ek sızmalara neden oldu.

Bu temel güvenlik prosedürlerini uygulamamanın bir sonucu olarak, bilgisayar korsanları, Wyndham tarafından yönetilen ve franchise verilen oteller için kurumsal ağ ve mülk yönetim sistemlerine “bellek kazıyan” kötü amaçlı yazılımlar yükleyebildi . Bilgisayar korsanları, iki yılı aşkın bir süre boyunca 600.000'den fazla kişinin kişisel ve hassas bilgilerini (isimler, adresler, kredi kartı numaraları) sistematik olarak ele geçirdi ve bu verileri yasa dışı bir şekilde Rusya'da kayıtlı bir alana aktardı.

Buna karşılık, FTC, Wyndham'ın bireysel son kullanıcılardan hassas ve kişisel verileri (kredi kartı ve diğer fatura bilgileri dahil) toplamaya devam ederken, makul veri güvenliği önlemlerini uygulamayı tekrar tekrar reddetmesinin 5. bölüm kapsamında "haksız" olduğunu savunarak dava açtı.

Ayrıca, FTC, Wyndham'ın kişisel ve hassas verileri korumak için "standart" güvenlik önlemleri kullanacağına dair gizlilik politikasında söz verdiği için, Bölüm 5 kapsamında bu temel veri güvenliği prosedürlerini benimsememenin "aldatıcı" olduğunu tespit etti.

Perkins Coie'den @JanisKestenbaum tarafından hazırlanan bu mükemmel güncellemede vakanın arka planı hakkında daha fazla bilgi edinebilirsiniz .

Wyndham ağının güvenliğini nasıl sağlayamadı?

FTC şikayeti , Wyndham'ın ağını güvence altına almak için yapmadığı birçok şeyi detaylandırıyor:

  • örneğin güvenlik duvarları gibi dahili bilgisayar sistemlerini güvence altına almak için hazır güvenlik önlemlerini kullanmamak;
  • yazılımın yanlış yapılandırılması ve bunun sonucunda son kullanıcıların kredi kartı bilgilerinin açık metin olarak saklanması;
  • sunuculardaki bilinen güvenlik açıklarını giderememek;
  • sunuculara erişim için varsayılan kullanıcı adlarını ve şifreleri kullanmak;
  • çalışanların şirket sunucularına erişmek için karmaşık kullanıcı kimlikleri ve şifreleri kullanmasını gerektirmemek;
  • üçüncü tarafların şirket ağlarına ve bilgisayarlarına erişimini makul ölçüde sınırlandırmamak.

FTC, bu tür uygulamaların kişisel ve hassas veriler toplayan işletmeler arasında standart olduğunu ve art arda üç saldırıdan sonra bile bu tür uygulamaları benimsemeyerek Wyndham'ın eylemlerinin adil olmadığını savundu.

Üçüncü Devre Konuşuyor

FTC eylemine tepki olarak Wyndham, diğer şeylerin yanı sıra FTC'nin bir veri güvenliği eylemi başlatma yetkisine sahip olmadığını iddia ederek bölge mahkemesine dava açtı. Ayrıca FTC'nin “makul” veri güvenliği uygulamalarının ne olduğunu yeterince tanımlamadığını da savundu.

Bölge mahkemesinde bu iddiasını kaybettikten sonra, Wyndham Üçüncü Devre'ye başvurdu. Üçüncü Daire kararı, Wyndham'ı oldukça eleştiren ve “ Certiorari ” ilkesi kapsamında Yüksek Mahkeme temyiz başvurusu için zayıf gerekçeler sağlayan bir kararla yanıt verdi .

Mahkemenin görüşü, Wyndham tarafından gündeme getirilen iki önemli soruyu yanıtladı:

  1. FTC, FTC Yasası uyarınca "makul" veri güvenliği uygulamaları kullanmayan şirketlere karşı veri güvenliği eylemleri başlatma yetkisine sahiptir .
  2. FTC , "makul" veri güvenliğini neyin oluşturduğu konusunda sektöre yeterli bildirimde bulunmuştur . Bu noktada Mahkeme, son kullanıcılardan ve müşterilerden topladıkları verileri uygunsuz bir şekilde güvence altına alan sanıklara karşı çok sayıda dosyada FTC'nin argümanlarına baktı. Ayrıca, bir standardı ifade etmek için öncelikle sektördeki en iyi uygulamalara dayanan FTC'nin yayınlanmış kılavuzuna da baktılar.

Üçüncü Daire, Wyndham'ın eylemlerinin FTC rehberliğine dayalı olarak gerçekten “mantıksız” olup olmadığı konusundaki özel soruyu ele almadı - bu soru, davanın şimdi geri gönderildiği New Jersey bölge mahkemesi tarafından ele alınacaktır.

Yazıda bu noktaya ulaştıysanız, tebrikler, işlerin ilginçleştiği ve umarız sizin için alakalı hale geldiği yer burasıdır.

Makul Veri Güvenliği İşletmeniz İçin Ne Anlama Geliyor?

Üçüncü Devre'nin analizine göre, FTC şirketlere, kişisel ve hassas verilerin korunması söz konusu olduğunda "makul" olarak değerlendirecekleri bu uygulamalar hakkında - çok sayıda davalı ile anlaşmalar ve sektöre yönelik yayınlanmış rehberlik yoluyla - yeterince bilgi verdi.

Aslında FTC, Start with Security kılavuzunda mobil uygulama geliştiricileri için "makul veri güvenliği" uygulamaları hakkında özel rehberlik sağlamıştır .

“Tüm uygulamaları güvence altına almak için bir kontrol listesi yok. Farklı uygulamaların farklı güvenlik ihtiyaçları vardır. Örneğin, çok az veri toplayan veya hiç veri toplamayan bir çalar saat uygulaması, konum tabanlı bir sosyal ağdan muhtemelen daha az güvenlik konusuna neden olacaktır. Daha karmaşık uygulamalar, kullanıcıların verilerini depolamak ve işlemek için uzak sunuculara güvenebilir; bu, geliştiricilerin yazılımların güvenliğini, veri aktarımlarının güvenliğini ve sunucuların güvenliğini sağlama konusunda bilgi sahibi olması gerektiği anlamına gelir. Zorluğa ek olarak: Güvenlik tehditleri ve en iyi uygulamalar hızla gelişiyor.”

Başka bir deyişle, FTC, uygulama geliştiricilerinin, topladıkları veri türüne ve bu verileri nasıl kullandıklarına bağlı olarak makul veri güvenliği uygulamalarını benimsemelerini ve sürdürmelerini beklemektedir. Herkese uyan tek bir yaklaşım önermezler.

Bu nedenle, topladığınız veriler ve bu verileri nasıl kullanıp paylaştığınız ışığında bunların "makul" olup olmadığını belirlemek için verilerinizin ve güvenlik uygulamalarınızın envanterini çıkarmanın tam zamanı. FTC'nin Güvenlikle Başlayın kılavuzuna göz atmaya ve bu adımların sizin için geçerli olup olmadığını belirlemeye değer.

FTC, kişisel ve hassas verileri toplayan şirketleri özellikle aşağıdakileri yapmaya teşvik ediyor:

  • Güvenlikten birini sorumlu tutun.
  • Topladığınız ve sakladığınız verilerin stokunu alın .
  • Veri minimizasyonu pratiği yapın : İhtiyacınız olmayan verileri toplamayın veya saklamayın.
  • Çalıştığınız mobil platformların güvenlik uygulamalarını araştırın ve anlayın .
  • Sunucularınızı koruyun. Uygulamanızla iletişim kuran bir sunucuya sahipseniz, onu korumak için uygun güvenlik önlemlerini alın. Ticari bir bulut sağlayıcısına güveniyorsanız, sunucudaki yazılımın güvenliğini sağlamak ve güncellemek için sorumluluk bölümlerini anlayın.
  • Mali veriler, sağlık verileri veya çocuklara ilişkin verilerle ilgileniyorsanız, geçerli standartları ve düzenlemeleri anladığınızdan emin olun . TUNE'un yakın zamanda kullanıma sunulan gizlilik ve veri mikro sitesinde geçerli olan yasa türleri ve sektör çerçeveleri hakkında daha fazla ayrıntı bulabilirsiniz .
  • Güvenlik, veri ve gizlilik uygulamalarınız hakkında bildirimde bulunun ve "kullanıcılarınızla kendi kelimelerinizle konuşun".
  • Kimlik bilgilerini (kullanıcı adları, parolalar) güvenli bir şekilde oluşturun.
  • Hassas verileri düz metin olarak saklamayın veya iletmeyin . Fatura verileri ve diğer önemli veriler için toplu taşıma şifrelemesi kullanın. FTC, düz metin veri depolama ve iletimi için Lifelock, RockYou ve ValueClick'e karşı eylemler başlattı.
  • Transit ve depolama şifrelemesi, "kişisel veriler" ihlal edildiğinde eyalet Başsavcılığına ve son kullanıcılara rapor vermenizi gerektiren eyalet veri ihlali yasalarına uyum için de geçerlidir. Kaliforniya ve diğer eyaletlerin yasaları kapsamındaki kişisel veriler, şifrelenmemiş verileri içerir – düz metin olarak saklanan veriler, örneğin kredi kartı bilgileri, şifre ile saklanan e-posta adresi.
  • Uygulamanız kullanıma sunulduktan sonra da onunla ilgilenmeye devam edin . Her gün yeni güvenlik açıkları ortaya çıkıyor ve en saygın yazılım kitaplıkları bile güvenlik güncellemeleri gerektiriyor.

Öyleyse, Güvenlikle Başlayın

Wyndham aleyhindeki Üçüncü Devre kararı, kişisel ve hassas verilerle uğraşan tüm şirketlerin verilerini ve güvenlik uygulamalarını gözden geçirmeleri gerektiğinin önemli bir hatırlatıcısıdır. Bu tür verilerin ihlali, FTC yükümlülüğüne, toplu dava davalarına ve en önemlisi son kullanıcılarınızla olan güvenin kaybolmasına neden olabilir.

Bu, almaya hazır olduğunuz bir risk mi? Değilse, bugün “Güvenlikle Başlayın” mantıklıdır.

Ek bir önemli kaynak:

“Makul” veri güvenliğinin ne olduğu ve işinize nasıl uygulanabileceği konusunda daha ayrıntılı bilgi edinmek istiyorsanız, tanınmış gizlilik uzmanları Dan Solove ve Woody Hartzog'un “Gizlilik Ortak Yasası” na göz atmaya değer. FTC'nin "rıza kararnameleri" , yani şirketin belirli bir süre (genellikle 20 yıl) boyunca belirli belirli eylemlerde bulunmasını gerektiren anlaşmalar yoluyla modern ABD gizlilik yasasını nasıl şekillendirebildiğini araştırıyor . Bu, Microsoft'a karşı (Pasaport için) bir veri güvenliği rıza kararnamesini içerir ; ajansın şimdi Facebook (2009 gizlilik politikası değişiklikleri üzerine) ve Google (2010 Buzz'ın lansmanı üzerinden ) ile gizlilik onayı kararları var .

Fotoğraf kredisi: @dcillustrated

Bu makaleyi beğendiniz mi? Blog özet e-postalarımız için kaydolun.