温德姆决策提醒我们“从安全开始”

已发表: 2015-09-01

数字生态系统应该关注美国第三巡回上诉法院最近针对温德姆环球公司的一项裁决,该裁决确认了 FTC 监管数据安全的权利。

鉴于FTC 法案第 5 条规定的监管“消费者保护”的广泛授权, FTC 监管数据隐私的权力从未受到质疑但 FTC 规定数据安全做法的权力在涉及两个独立原告——温德姆酒店Lab MD的案件中受到质疑

在我们深入研究该裁决以及它如何适用于从最终用户那里收集敏感和个人数据的公司之前,让我们回顾一下相关背景。

FTC 对温德姆的诉讼

黑客在 2008 年至 2010 年间 3 次入侵了温德姆的计算机系统,窃取了 619,000 人的信用卡信息,并招致了超过 1060 万美元的欺诈费用。 这些系统包括温德姆的企业网络,这些网络与 7,000 多家温德姆管理的酒店和特许经营商的计算机系统相连。 尽管有这些反复的黑客攻击,温德姆拒绝更新其安全程序-导致其系统的额外渗透。

由于没有实施这些基本安全程序,黑客能够在温德姆管理和特许经营酒店的企业网络和物业管理系统上安装“内存抓取”恶意软件。 在两年的时间里,黑客系统地提取了超过 60 万人的个人和敏感信息(姓名、地址、信用卡号),并将这些数据非法导出到在俄罗斯注册的域中。

作为回应,FTC 提起诉讼,辩称温德姆一再拒绝实施合理的数据安全措施,同时继续从个人最终用户那里收集敏感和个人数据(包括信用卡和其他账单信息),根据第 5 条是“不公平的”。

此外,FTC 发现,根据第 5 条,不采用这些基本数据安全程序具有“欺骗性”,因为温德姆在其隐私政策中承诺将使用“标准”安全措施来保护个人和敏感数据。

您可以在Perkins Coie 的 @JanisKestenbaum 的精彩更新中了解有关此案背景的更多信息

温德姆如何未能保护其网络

FTC 投诉详细说明了温德姆为保护其网络而未采取的许多措施

  • 未能使用现成的安全措施来保护其内部计算机系统,例如防火墙;
  • 软件配置不正确,导致最终用户的信用卡信息以明文形式存储;
  • 未能解决服务器上已知的安全漏洞;
  • 使用默认用户名和密码访问服务器;
  • 没有要求员工使用复杂的用户 ID 和密码来访问公司服务器;
  • 未能合理限制第三方访问公司网络和计算机。

FTC 辩称,此类做法在收集个人和敏感数据的企业中是标准做法——即使在连续 3 次黑客攻击之后,不采用此类做法,温德姆的行为也是不公平的。

第三巡回演讲

作为对 FTC 行动的回应,Wyndham 向地区法院提起诉讼,指控 FTC 无权提起数据安全诉讼等。 它还辩称,FTC 没有充分确定什么是“合理的”数据安全做法。

在地区法院败诉后,温德姆向第三巡回上诉法院提出上诉。 第三巡回法院的裁决回应了一项对温德姆颇为批评的裁决,并为最高法院根据“移送”原则提出上诉提供了微不足道的理由。

法院的意见回答了温德姆提出的两个重要问题:

  1. FTC 有权根据 FTC 法案未采用“合理”数据安全做法的公司采取数据安全措施。
  2. FTC 已就什么构成“合理的”数据安全性向行业提供了充分通知 在这一点上,法院在针对被告的大量文件中审查了 FTC 的论点,这些文件不正当地保护了他们从最终用户和客户那里收集的数据。 他们还查看了 FTC 发布的指南,该指南主要基于行业最佳实践来阐明标准。

第三巡回法院没有根据 FTC 的指导解决温德姆的行为是否确实“不合理”的具体问题——该问题将由新泽西地区法院解决,该案现已发回重审。

如果您在帖子中达到了这一点,那么恭喜您,这就是事情变得有趣并希望与您相关的地方。

合理的数据安全对您的业务意味着什么?

根据第三巡回法院的分析,FTC 通过与众多被告的和解以及发布的行业指南,已充分通知公司在保护个人和敏感数据方面他们认为“合理”的做法。

事实上,FTC 在其“安全入门”指南中为移动应用程序开发人员提供了有关“合理的数据安全”实践的具体指导

“没有保护所有应用程序的清单。 不同的应用程序有不同的安全需求。 例如,与基于位置的社交网络相比,收集很少或不收集数据的闹钟应用程序可能会引起更少的安全考虑。 更复杂的应用程序可能依赖远程服务器来存储和操作用户数据,这意味着开发人员必须熟悉保护软件、保护数据传输保护服务器。 增加挑战:安全威胁和最佳实践发展迅速。”

换句话说,FTC 希望应用程序开发人员根据他们收集的数据类型以及他们如何使用这些数据来采用和维护合理的数据安全做法。 他们没有规定一刀切的方法。

因此,现在是清点您的数据和安全实践的好时机,以根据您收集的数据以及您如何使用和共享这些数据来确定它们是否“合理”。 值得查看 FTC 的“从安全开始”指南,并确定这些步骤是否适用于您。

特别是,FTC 敦促收集个人和敏感数据的公司执行以下操作:

  • 让某人负责安全。
  • 盘点您收集和保留的数据。
  • 练习数据最小化:不要收集或存储不需要的数据。
  • 研究并了解您使用的移动平台的安全实践
  • 保护您的服务器。 如果您维护与您的应用程序通信的服务器,请采取适当的安全措施来保护它。 如果您依赖商业云提供商,请了解保护和更新服务器上软件的责任分工。
  • 如果您要处理财务数据、健康数据或儿童数据,请确保您了解适用的标准和法规 您可以在 TUNE 最近推出的隐私和数据微型网站上找到有关适用法律和行业框架类型的更多详细信息
  • 提供有关您的安全、数据和隐私实践的通知,并“用您自己的话与您的用户交谈”。
  • 安全地生成凭据(用户名、密码)。
  • 不要以纯文本形式存储或传输敏感数据 对计费数据和其他重要数据使用传输加密。 FTC 已对 Lifelock、RockYou 和 ValueClick 提起诉讼,以进行纯文本数据的存储和传输。
  • 传输和存储加密也与遵守州数据泄露法规有关——该法规要求您在“个人数据”遭到破坏时向州总检察长和最终用户报告。 根据加利福尼亚州和其他州的法律,个人数据包括未加密数据——以明文形式存储的数据,例如信用卡信息、使用密码存储的电子邮件地址。
  • 启动后继续参与您的应用程序 每天都会出现新的漏洞,即使是最知名的软件库也需要安全更新。

所以,从安全开始

第三巡回法院对 Wyndham 的判决是一个重要的提醒,即所有处理个人和敏感数据的公司都应审查其数据和安全实践。 违反此类数据可能会导致 FTC 责任、集体诉讼,最重要的是失去与最终用户的信任。

这是你愿意承担的风险吗? 如果没有,那么今天“从安全开始”是有意义的。

另一个重要资源:

如果您想更详细地了解什么是“合理的”数据安全以及它如何适用于您的业务,那么值得查看著名隐私学者 Dan Solove 和 Woody Hartzog的“隐私普通法”。 它探讨了 FTC 如何通过“同意法令”来塑造现代美国隐私法,即要求公司在一段时间内(通常为 20 年)执行某些特定行为的和解。 这包括针对Microsoft的数据安全同意法令(针对 Passport); 该机构现在与Facebook (关于其 2009 年隐私政策变更)和谷歌(关于 2010 年推出的 Buzz)签订了隐私同意法令。

图片来源:@dcillustrated

喜欢这篇文章吗? 注册我们的博客摘要电子邮件。