Si se preocupa por la seguridad y la privacidad de los datos, querrá leer sobre el acuerdo de la FTC con Ruby Corporation, Ruby Life Inc. y ADL Media Inc., las compañías que operan AshleyMadison.com.
Ashleymadison.com anunció un sitio web de citas que es "100% seguro y anónimo". Imprimió esas afirmaciones al incluir un ícono de un "premio de seguridad de confianza" y una imagen que indica que el sitio web era un "servicio 100% discreto".
El sitio web lo atrajo con promesas de "miles de mujeres" en su ciudad (y considera que alrededor de 16 millones de los 19 millones de perfiles estadounidenses eran de hombres). Luego, utilizó "perfiles de ingenio": perfiles falsos creados por el personal que se comunicó como si fueran usuarios femeninos reales. La compañía creó estos perfiles utilizando información de miembros existentes que no habían tenido ninguna actividad de cuenta durante un tiempo. Muchas veces, los usuarios que no pagan actualizaron a membresías completas para poder enviar mensajes a lo que creían que eran usuarios reales, pero de hecho eran perfiles falsos.
Para los usuarios que estaban preocupados por que otros se enteren de sus actividades en el sitio web, el sitio web prometió que podría "eliminar su rastro digital". Por $ 19, podría comprar un "eliminación completa" que prometiera eliminar toda su información de AshleyMadison.com. Estamos hablando de información como: Nombre; estado de la relación; preferencias sexuales y encuentros deseados; actividades deseadas; fotografías; e información financiera. Parece que la información que la gente no querría salir al público, ¿verdad?
En julio de 2015, un grupo llamado "The Impact Team" pirateó el sistema informático de Ashley Madison. El grupo amenazó con publicar toda la información del usuario del sitio web a menos que Ashley Madison cerrara. Cuando la compañía se sujetó, el grupo publicó información personal sobre 36 millones de usuarios. Esa es mucha información muy personal de mucha gente.
Incluso incluía información de personas que habían pagado por un "eliminación completa". Resultó que Ashley Madison mantuvo información personal hasta 12 meses después de un "eliminación completa", y a veces no lograba eliminar los perfiles por completo.
¿Cómo sucedió esto? La queja de la FTC alega que AshleyMadison.com participó en varias prácticas que no proporcionaron seguridad de datos razonable, que incluyen:
- No tener una política de seguridad de la información escrita
- No implementar controles de acceso razonables
- No capacitar adecuadamente al personal sobre la seguridad de los datos
- No monitorear a los proveedores de servicios de terceros
Todos estos principios básicos se describen en la Guía de seguridad de inicio de la FTC.
La queja de cinco cargos de la FTC alega tanto engaño como injusticia. Los recuentos de engaño implican: tergiversaciones de que la compañía tomó medidas razonables para garantizar que Ashleymadison.com fuera seguro; tergiversaciones de que los perfiles de Engager eran de mujeres reales; tergiversaciones sobre la eliminación de perfiles; y tergiversaciones sobre el sello de seguridad de datos (lo adivinó: la compañía sin una política de seguridad de datos escrita no recibió un "premio de seguridad de confianza"). Finalmente, la queja alega que las prácticas de seguridad injustas de la compañía lesionan o pueden herir a los consumidores.
El acuerdo de la FTC con Ruby Corporation y sus subsidiarias prohíben a las empresas hacer ese tipo de tergiversaciones. También requiere que mantengan un programa integral de seguridad de la información y obtengan evaluaciones bienales.
Y la FTC no está en esto solo. El acuerdo de la FTC está en conjunto con trece estados y el Distrito de Columbia. La FTC también tuvo ayuda de sus homólogos internacionales en Canadá y Australia. Basado en una investigación conjunta, la Oficina del Comisionado de Privacidad de Canadá celebró un acuerdo de cumplimiento y la Oficina del Comisionado de Información de Australia celebró una empresa exigible con Ruby Corporation, con sede en Toronto. Esos acuerdos se centran en las medidas correctivas para mejorar las políticas de seguridad de datos y retención de datos de la Compañía.
Entonces, ¿cuál es la lección aprendida del caso Ashley Madison? Las empresas deben cumplir sus promesas. Y si recopila información personal confidencial, debe protegerla.
Para obtener más orientación sobre cómo hacerlo, consulte la protección de la información personal: una guía para los negocios y comienza con la seguridad: una guía para los negocios. Y para obtener más recursos de cumplimiento, visite el portal de privacidad y seguridad del centro de negocios.
