溫德姆決策提醒我們“從安全開始”

已發表: 2015-09-01

數字生態系統應該關注美國第三巡迴上訴法院最近針對溫德姆環球公司的一項裁決,該裁決確認了 FTC 監管數據安全的權利。

鑑於FTC 法案第 5 條規定的監管“消費者保護”的廣泛授權, FTC 監管數據隱私的權力從未受到質疑但 FTC 規定數據安全做法的權力在涉及兩個獨立原告——溫德姆酒店Lab MD的案件中受到質疑

在我們深入研究該裁決以及它如何適用於從最終用戶那裡收集敏感和個人數據的公司之前,讓我們回顧一下相關背景。

FTC 對溫德姆的訴訟

黑客在 2008 年至 2010 年間 3 次入侵了溫德姆的計算機系統,竊取了 619,000 人的信用卡信息,並招致了超過 1060 萬美元的欺詐費用。 這些系統包括溫德姆的企業網絡,這些網絡與 7,000 多家溫德姆管理的酒店和特許經營商的計算機系統相連。 儘管有這些反复的黑客攻擊,溫德姆拒絕更新其安全程序-導致其係統的額外滲透。

由於沒有實施這些基本安全程序,黑客能夠在溫德姆管理和特許經營酒店的企業網絡和物業管理系統上安裝“內存抓取”惡意軟件。 在兩年的時間裡,黑客系統地提取了超過 60 萬人的個人和敏感信息(姓名、地址、信用卡號),並將這些數據非法導出到在俄羅斯註冊的域中。

作為回應,FTC 提起訴訟,辯稱溫德姆一再拒絕實施合理的數據安全措施,同時繼續從個人最終用戶那裡收集敏感和個人數據(包括信用卡和其他賬單信息),根據第 5 條是“不公平的”。

此外,FTC 發現,根據第 5 條,不採用這些基本數據安全程序具有“欺騙性”,因為溫德姆在其隱私政策中承諾將使用“標準”安全措施來保護個人和敏感數據。

您可以在Perkins Coie 的 @JanisKestenbaum 的精彩更新中了解有關此案背景的更多信息

溫德姆如何未能保護其網絡

FTC 投訴詳細說明了溫德姆為保護其網絡而未採取的許多措施

  • 未能使用現成的安全措施來保護其內部計算機系統,例如防火牆;
  • 軟件配置不正確,導致最終用戶的信用卡信息以明文形式存儲;
  • 未能解決服務器上已知的安全漏洞;
  • 使用默認用戶名和密碼訪問服務器;
  • 沒有要求員工使用複雜的用戶 ID 和密碼來訪問公司服務器;
  • 未能合理限制第三方訪問公司網絡和計算機。

FTC 辯稱,此類做法在收集個人和敏感數據的企業中是標準做法——即使在連續 3 次黑客攻擊之後,不採用此類做法,溫德姆的行為也是不公平的。

第三巡迴演講

作為對 FTC 行動的回應,Wyndham 向地區法院提起訴訟,指控 FTC 無權提起數據安全訴訟等。 它還辯稱,FTC 沒有充分確定什麼是“合理的”數據安全做法。

在地區法院敗訴後,溫德姆向第三巡迴上訴法院提出上訴。 第三巡迴法院的裁決回應了一項對溫德姆頗為批評的裁決,並為最高法院根據“移送”原則提出上訴提供了微不足道的理由。

法院的意見回答了溫德姆提出的兩個重要問題:

  1. FTC 有權根據 FTC 法案未採用“合理”數據安全做法的公司採取數據安全措施。
  2. FTC 已就什麼構成“合理的”數據安全性向行業提供了充分通知 在這一點上,法院在針對被告的大量文件中審查了 FTC 的論點,這些文件不正當地保護了他們從最終用戶和客戶那裡收集的數據。 他們還查看了 FTC 發布的指南,該指南主要基於行業最佳實踐來闡明標準。

第三巡迴法院沒有根據 FTC 的指導解決溫德姆的行為是否確實“不合理”的具體問題——該問題將由新澤西地區法院解決,該案現已發回重審。

如果您在帖子中達到了這一點,那麼恭喜您,這就是事情變得有趣並希望與您相關的地方。

合理的數據安全對您的業務意味著什麼?

根據第三巡迴法院的分析,FTC 通過與眾多被告的和解以及發布的行業指南,已充分通知公司在保護個人和敏感數據方面他們認為“合理”的做法。

事實上,FTC 在其“安全入門”指南中為移動應用程序開發人員提供了有關“合理的數據安全”實踐的具體指導

“沒有保護所有應用程序的清單。 不同的應用程序有不同的安全需求。 例如,與基於位置的社交網絡相比,收集很少或不收集數據的鬧鐘應用程序可能會引起更少的安全考慮。 更複雜的應用程序可能依賴遠程服務器來存儲和操作用戶數據,這意味著開發人員必須熟悉保護軟件、保護數據傳輸保護服務器。 增加挑戰:安全威脅和最佳實踐發展迅速。”

換句話說,FTC 希望應用程序開發人員根據他們收集的數據類型以及他們如何使用這些數據來採用和維護合理的數據安全做法。 他們沒有規定一刀切的方法。

因此,現在是清點您的數據和安全實踐的好時機,以根據您收集的數據以及您如何使用和共享這些數據來確定它們是否“合理”。 值得查看 FTC 的“從安全開始”指南,並確定這些步驟是否適用於您。

特別是,FTC 敦促收集個人和敏感數據的公司執行以下操作:

  • 讓某人負責安全。
  • 盤點您收集和保留的數據。
  • 練習數據最小化:不要收集或存儲不需要的數據。
  • 研究並了解您使用的移動平台的安全實踐
  • 保護您的服務器。 如果您維護與您的應用程序通信的服務器,請採取適當的安全措施來保護它。 如果您依賴商業雲提供商,請了解保護和更新服務器上軟件的責任分工。
  • 如果您要處理財務數據、健康數據或兒童數據,請確保您了解適用的標準和法規 您可以在 TUNE 最近推出的隱私和數據微型網站上找到有關適用法律和行業框架類型的更多詳細信息
  • 提供有關您的安全、數據和隱私實踐的通知,並“用您自己的話與您的用戶交談”。
  • 安全地生成憑據(用戶名、密碼)。
  • 不要以純文本形式存儲或傳輸敏感數據 對計費數據和其他重要數據使用傳輸加密。 FTC 已對 Lifelock、RockYou 和 ValueClick 提起訴訟,以進行純文本數據的存儲和傳輸。
  • 傳輸和存儲加密也與遵守州數據洩露法規有關——該法規要求您在“個人數據”遭到破壞時向州總檢察長和最終用戶報告。 根據加利福尼亞州和其他州的法律,個人數據包括未加密數據——以明文形式存儲的數據,例如信用卡信息、使用密碼存儲的電子郵件地址。
  • 啟動後繼續參與您的應用程序 每天都會出現新的漏洞,即使是最知名的軟件庫也需要安全更新。

所以,從安全開始

第三巡迴法院對 Wyndham 的判決是一個重要的提醒,即所有處理個人和敏感數據的公司都應審查其數據和安全實踐。 違反此類數據可能會導致 FTC 責任、集體訴訟,最重要的是失去與最終用戶的信任。

這是你願意承擔的風險嗎? 如果沒有,那麼今天“從安全開始”是有意義的。

另一個重要資源:

如果您想更詳細地了解什麼是“合理的”數據安全以及它如何適用於您的業務,那麼值得查看著名隱私學者 Dan Solove 和 Woody Hartzog的“隱私普通法”。 它探討了 FTC 如何通過“同意法令”來塑造現代美國隱私法,即要求公司在一段時間內(通常為 20 年)執行某些特定行為的和解。 這包括針對Microsoft的數據安全同意法令(針對 Passport); 該機構現在與Facebook (關於其 2009 年隱私政策變更)和谷歌(關於 2010 年推出的 Buzz)簽訂了隱私同意法令。

圖片來源:@dcillustrated

喜歡這篇文章嗎? 註冊我們的博客摘要電子郵件。