Sí, si un árbol cae en el bosque y no hay nadie allí para escucharlo, el árbol hace un sonido. Y sí, si ocurre una violación de datos y no puede notificar oportunamente a los clientes afectados, esa es una práctica injusta. Esa es solo una de las lecciones que las empresas pueden aprender del Liquidación propuesta por la FTC con Global Tel*Link (GTL) y sus subsidiarias, TelMate y Touchpay.
¿Otra lección? Cuando se trata de salvaguardar la información personal de los consumidores, el deber se extiende independientemente de dónde el negocio almacene los datos y para qué utilice los datos, incluso las pruebas. Sigue leyendo para obtener más información. GTL es uno de los mayores proveedores de servicios de comunicaciones y tecnología para cárceles, cárceles e instituciones similares, que brinda servicios de comunicaciones y pagos para consumidores encarcelados y sus contactos no incarcados, incluidos los seres queridos. Según la queja de la FTC, en agosto de 2020, los atacantes desconocidos accedieron a la información de identificación personal ("PII") de cientos de miles de personas que usaron los productos de GTL cuando los datos quedaron desprotegidos y accesibles a través de Internet. Esto incluyó: Nombres, información de contacto, números de licencia de conducir, números de pasaporte, números de seguro social, información de tarjetas de pago e cuenta financiera, mensajes personales, información de salud y formularios de reclamo.
¿Cómo sucedió esto? En vías de Al actualizar su software de búsqueda y análisis, GTL supuestamente trasladó una base de datos que contiene PII a un entorno de prueba en la nube. Según la FTC’s quejaGTL Dejó la base de datos de PII sin cifrar y no tomó otras medidas para proteger los datos almacenados en el entorno de prueba, como el monitoreo automatizado. Cuando un Contratista empleado por GTL para trabajar en la actualización del software Cambiado la configuración de seguridad del entorno de prueba, el entorno, y todo el PII que contenía, se dejó accesible a través de Internet sin protección de contraseña.
Probablemente puedas adivinar lo que pasó después. Una o más personas no autorizadas pudieron acceder y descargar información de la base de datos. Un investigador de seguridad de datos notificó a GTL que los datos estaban expuestos–Específicamente, para que pueda acceder a la base de datos y ver PII sobre los usuarios de GTL. Lo adivinaste. A continuación, alguien descargó información de la base de datos y la puso a disposición en la web oscura. Los consumidores comenzaron a decirle directamente a GTL que recibieron alertas de que su información se encontró en la web oscura.
¿Puedes adivinar que no ¿Sucede a continuación? Según la queja de la FTC, al menos ocho meses pasaron donde GTL y sus subsidiarias no notificaron a los clientes afectados. En cambio, la FTC alegó que la compañía tergiversó sus esfuerzos para hacerlo y representó falsamente a posibles clientes institucionales que GTL no había experimentado un acceso no autorizado a sus datos.
Cuando GTL y sus subsidiarias finalmente notificaron a los consumidores sobre la violación, la FTC alega que eligieron notificar solo una fracción de los usuarios afectados que su información se vio afectada, negando a cientos de miles de usuarios cualquier oportunidad para aprovechar las medidas de autoayuda, como implementar una alerta de fraude o congelar el crédito.
Durante años, la FTC ha enfatizado a las empresas La importancia de tener una detección y respuesta de violación efectiva como componentes esenciales de un programa de seguridad de datos razonable. La FTC’s asentamiento con GTL y sus subsidiarias subrayan estos principios. También deja en claro que las protecciones de seguridad de datos razonables para salvaguardar la PII de los consumidores se aplican incluso cuando esos datos se utilizan para las pruebas, y requieren que una empresa inventario y rastree el flujo de información personal de los consumidores. Y, en caso de que ocurra una violación, las empresas deben notificar rápidamente a los consumidores sobre el incidente, particularmente cuando no hacerlo pone a los consumidores afectados en un mayor riesgo de daño, como el robo de identidad.
Querrá leer la queja de seis cargos para obtener detalles sobre cómo las prácticas de GTL supuestamente dañaron a los consumidores. Para resolver el caso, GTL y sus subsidiarias acordaron implementar un programa integral de seguridad de la información con evaluaciones de terceros, proporcionar monitoreo de crédito e identidad a los consumidores no notificados previamente de la violación y notificar a los consumidores afectados sobre la violación. El propuesto asentamiento también requiere que GTL y sus subsidiarias notifiquen el FTC yen el primero para una orden de la FTC, los consumidores e instalaciones afectados sobre futuras infracciones de datos. Finalmente, según el acuerdo, GTL y sus subsidiarias tienen prohibido hacer tergiversaciones sobre la privacidad, la seguridad de los datos y las infracciones de datos.
¿Cuáles son las conclusiones clave para su negocio?
- Las empresas deben notificar de inmediato a los consumidores cuando se haya producido una violación que los pone en un mayor riesgo de daño, como el robo de identidad. El acuerdo GTL requiere que GTL y sus subsidiarias notifiquen a la FTC de cualquier violación futura. La orden propuesta agrega un requisito adicional novedoso. Siempre que el deber de Notificar que cualquier agencia gubernamental se desencadena por una futura violación de datos, GTL y sus subsidiarias deben También notifica oportunamente a los usuarios e instalaciones afectados.
- Los requisitos de seguridad de datos razonables se aplican independientemente de dónde el negocio almacene la información personal de los consumidores o para qué utiliza esa información, incluidas las pruebas. Una mejor práctica es evitar el uso de PII para pruebas o desarrollo en primer lugar, pero si usar PII es inevitable, entonces esa PII debe protegerse en la misma medida que en el entorno de producción.
- Las empresas deben inventario y rastrear el flujo de PII. Saber qué datos se almacenan, dónde son críticos para la capacidad de una empresa para evaluar qué protecciones se necesitan e identificar oportunamente a los consumidores que deben ser notificados después de cualquier incumplimiento.
