No podemos garantizar su efectividad para que los niños coman sus verduras o terminen su tarea. Pero hay una circunstancia en la que una mamá o papá "porque lo dije. . . . " es la ley de la tierra. Cuando se trata de la recopilación en línea de información personal de niños menores de 13 años, el Regla de protección de la privacidad en línea para niños (COPPA) pone a los padres a cargo.
Una demanda de la FTC contra VTech, un gran nombre en productos de aprendizaje electrónico para el set de columpios, alega que la compañía violó COPPA y la FTC actúa, entre otras cosas, no tomar medidas razonables para proteger los datos confidenciales recopilados de los niños. Una preocupación particular en este caso: la FTC'S primero se ocupa de los juguetes conectados: es la acusación de que las violaciones de VTech salieron a la luz solo después de que un hacker robó información personal sobre niños y padres que usaron los productos de la compañía.
Primero, algunos antecedentes. VTech opera Learning Lodge, una plataforma en línea que permite a los clientes descargar aplicaciones dirigidas por niños, juegos, libros electrónicos, etc., en sus dispositivos conectados VTech. Más de 2 millones de padres han creado que Learning Lodge representa cerca de 3 millones de niños. Una aplicación popular es Kid Connect, que permite a los niños enviar Mensajes de texto, archivos de audio, fotos, etc., a los contactos aprobados por mamá o papá. Una vez registrados, los niños también pueden publicar mensajes en un tablón de anuncios electrónicos accesibles para las personas en la lista de contactos de los padres.
Desde al menos julio de 2013 hasta noviembre de 2015, si un niño quería usar Kid Connect, un padre tuvo que inscribirse en Learning Lodge. El registro requirió mucha información personal: el nombre completo del padre, la dirección física, el correo electrónico, la contraseña y un Q&A secreto para la recuperación de la contraseña, así como el nombre, la fecha y el año de nacimiento del niño y el género. Luego, los padres podrían configurar una cuenta de Kid Connect enviando una dirección de correo electrónico, el nombre de usuario y la contraseña de un padre, el nombre de usuario de un niño y una foto de perfil tanto del padre como del niño. (Además, VTech ofreció una plataforma basada en la web llamada Planet VTech. Redoles a los padres que enviaran una cantidad sustancial de información personal, incluido el nombre del niño, el nombre de inicio de sesión, la contraseña y la fecha completa de nacimiento).
¿Dónde alega la FTC que VTech salió mal? Primero, la política de privacidad de VTech dijo que cuando los padres ingresan información personal como parte del proceso de registro para Learning Lodge, Kid Connect o Planet VTech, "en la mayoría de los casos", esa información "se transmitirá encriptada para proteger su privacidad utilizando la tecnología de cifrado HTTPS. " Pero según la FTC, los datos no estaban encriptados, lo que hizo que la afirmación de VTech falsa según la Ley de la FTC.
La queja también cobra a VTech por violar disposiciones específicas de COPPA. Según la FTC, VTech no pudo proporcionar suficiente aviso en su sitio web sobre la información que recopila de los niños, cómo utiliza esa información y sus prácticas de divulgación. Además, VTech no pudo proporcionar un aviso directo de sus políticas a los padres.
La demanda también alega que cuando las personas establecen una cuenta de Kid Connect, VTech no tenía un mecanismo compatible con COPPA para verificar que la persona que registró la cuenta era padre y no un niño.
Finalmente, la Sección 312.8 de la regla requiere que las empresas cubiertas de COPPA como VTech "establezcan y mantengan procedimientos razonables para proteger la confidencialidad, la seguridad y la integridad de la información personal recopilada de los niños". Sin embargo, en este caso, un hacker pudo acceder de forma remota al entorno de prueba de VTech y desde allí ingresó al sitio en vivo. Ahí es donde el hacker agarró los nombres completos de los padres, las direcciones, las direcciones de correo electrónico, las preguntas secretas y los nombres de usuario de los niños, todo lo cual se almacenó en texto claro y legible. Aunque VTech almacenó contraseñas y fotos y archivos de audio para niños en un formato cifrado, una base de datos a la que el hacker accedió incluía las claves de descifrado para fotos y audio.
Además, la FTC dice que la información se almacenó para que la información de los niños estuviera vinculada a la información de sus padres. Por ejemplo, eso significaba que si un niño había enviado una foto a través de Kid Connect, el hacker podría haber encontrado esa foto, junto con la dirección de la casa del niño. Según la queja, VTech no sabía que la información personal había sido copiada de su red hasta que un periodista contactó a la compañía.
Además de una multa civil de $ 650,000, el acuerdo propuesto incluye procedimientos para garantizar el cumplimiento futuro de COPPA. Una disposición notable: un programa integral de seguridad de datos sujeto a auditorías independientes en cada otro año durante los próximos 20 años.
Los casos son específicos de hechos, por supuesto, pero vale la pena echar un vistazo a dónde alega la FTC que las prácticas de seguridad de VTech se quedaron cortas. Cada una de las acusaciones de quejas apunta a un principio de seguridad establecido que las empresas cubiertas de COPPA, y otras empresas, deberían considerar al evaluar sus propios procedimientos.
- La queja alega que VTech no logró desarrollar, implementar y mantener un programa integral de seguridad de la información. Si el programa de su empresa se esconde en un archivo en algún lugar, recuerde que COPPA hace que la seguridad sea un proceso de "vivo". Podría ser el momento de revisar su programa a la luz de los cambios en su negocio y el panorama de amenazas en evolución.
- La queja alega que VTech no implementó medidas adecuadas para segmentar y proteger su sitio web en vivo del entorno de prueba. Esa preocupación debería sonar Familiar de las empresas que han estado siguiendo las FTC Comience con la seguridad y Quédate con la seguridad iniciativas. La segmentación de red efectiva podría ayudar a evitar que un "oops" se convierta en un "UH-OH" completo.
- La queja alega que VTech no pudo tener un sistema de detección de intrusos. Si la alarma antirrobo se disparó en su casa o lugar de trabajo, cambiaría a una alerta alta. Desde hace años, los casos de FTC y la orientación a las empresas sugieren una respuesta similar al acceso a la red no autorizado. Las empresas cuidadosas tienen un sistema para advertirles sobre los intrusos digitales.
- La queja alega que VTech no monitoreó los intentos no autorizados de exfiltrar la información personal. ¿Sabrías si un intruso estaba intentando llevar en tu red? Hay herramientas que pueden alertarlo cuando alguien intenta transferir grandes cantidades de datos.
- La queja alega que VTech falló Para completar las pruebas de vulnerabilidad y penetración para ver cómo su red podría resistir las vulnerabilidades bien conocidas como la inyección SQL. No hay forma de hacer que una red sea 100% a prueba de hack, pero como Comience con la seguridad y Quédate con la seguridad Sugerir, hay un paso que puede tomar para proteger los datos confidenciales de los viejos, pero los hermanos, como los ataques de inyección SQL.
- La queja alega que VTech no implementó orientación o capacitación razonable para sus empleados. Las empresas conscientes de la seguridad tienen un arma secreta en la lucha para salvaguardar los datos confidenciales: un pozo-Puívelo laboral capacitado. COPPA cubre o no su empresa, ¿ha incorporado la seguridad en todo su negocio? ¿Son claros sus empleados sobre sus expectativas?
La FTC tiene recursos para optimizar su seguridad de datos y los esfuerzos de cumplimiento de COPPA. ¿El tiempo es una prima? Ponga a un lado unos minutos al día para ver uno de nuestros videos para negocios.
