Zakelijk

De verwijdering van gegevensbescherming bij serviceleverancier omvat de bestelbepalingen bij updates

Photo of Britt van den Heuvel Britt van den Heuvel1 dag ago
0 5 minutes read


Domino -beleid. Rimpeleffect. Vlinderevenementen. Pas de analogie van uw keuze toe om te beschrijven wat er gebeurt als het gebeurt Een Software OntwikkelaarEr is beweerd dat als gevolg van de vertrouwelijke overtreding van de klantgegevens als gevolg van ontspannende beschermingspraktijk Vermenigvuldigen Bedrijven die software gebruiken. Als uw bedrijf een serviceprovider is – of als uw bureau serviceleveranciers van derden gebruikt om u te helpen uw gegevens te beheren – Voorgesteld FTC VerdiensteUw aandacht. Een belangrijk aspect van de zaak: een voorgestelde bestelling omvat nieuwe vereisten voor gegevensbescherming waarvan de gegevens de prioriteit van de huidige Commissie weerspiegelen om het bevel van de gegevensbescherming bij te werken.

Veel serviceleveranciers van derden verkopen industriële specifieke gegevensbeheersoftware aan de consumentgerichte activiteiten. Een voorbeeld is de dealer gebouwd, software voor autodealers ontwikkeld door Lightier Dealer Technologies. Dealerbilt is een grote naam voor het bedrijfsleven, het grootste dealernummer in het land als klanten. Dealer die de dealer -gebouwde softwarelicenties geeft en grote hoeveelheden gevoelige financiële, loon, boekhouding en andere informatie over consumenten en werknemers onderhoudt. Softwaregebruikershandelaren kunnen hun gegevens die op dealers zijn gebouwd hosten, of ze kunnen deze op hun eigen servers hosten. De tweede optie die regelmatig achteruitgaat op het netwerk van de dealerbilt.

Voordat de onvermijdelijke informatie geleid door wetshandhaving uh-OH verplaatst, laten we uit elkaar gaan om enkele van de dealerbilt-praktijken in de relevante tijd te overwegen met de voorgestelde administratie van FTC KlachtDe Volgens FTC:

  • Informatie van de dealer gebouwde informatie in schone tekst zonder toegangscontrole of wachtwoord of tokenbescherming. De gegevens die zijn verzonden tussen de dealer en de dealerbilt back -updatabase waren ook in een duidelijke tekst.
  • Er was geen schriftelijk beleid voor informatiebescherming in plaats van de dealer -build.
  • Dealerbilt heeft geen redelijke training voor gegevensbescherming gegeven voor werknemers of aannemers.
  • Dealerbilt evalueerde het risico van gevoelige gegevens op haar netwerk niet door periodieke risico -evaluatie uit te voeren of zwakke punten en inbreuk te onderzoeken.
  • Niet -geautoriseerde pogingen om gevoelige gegevens over te dragen – onder andere – Dealerbilt heeft geen gemakkelijk beschikbare beveiligingsmaatregelen voor monitoring gebruiktDe
  • De gebouwde dealer wordt niet geplaatst in plaats van redelijke gegevens voor gegevenstoegang – authenticatie is bijvoorbeeld vereist om toegang te krijgen tot systemen of back -updatabases om inkomende verbindingen met IP -adressen te beperken.
  • Er was geen redelijk proces voor het selecteren, installeren en beveiligen van apparaten met toegang tot persoonlijke informatie in de dealerbilt.

De achtergrond van de geklaagde beveiligingsfalen moet niet verrassend zijn. Om de beschikbare back -upopslag te vergroten, heeft een door dealer gebouwde medewerker een opslagapparaat gekocht op april 2015 en deze op het netwerk van het bedrijf geïnstalleerd. Volgens de FTC heeft het dealerbilt -managementapparaat geen stappen ondernomen om ervoor te zorgen dat het apparaat veilig is ingesteld. Als iemand het apparaat heeft gecontroleerd, leren hij een open verbindingspoort te maken waarmee informatie naar de informatie wordt overgedragen.

Eind 28 oktober 2016, toen een hacker “poort” werd overwonnen “op” Port “op open poort” Open Port “om ongeautoriseerde toegang te krijgen tot de back -updatabase van een hacker -dealerbilt, met zijn klantdealers in 10 bedrijven met de onvrijwillige persoonlijke informatie van meer dan 12 miljoen klanten. Het hackersysteem vermenigvuldigde het systeem en downloadde de persoonlijke informatie van 69.283 klanten en de hele back -upmap van vijf dealers. En dat komt niet allemaal omdat voor aanzienlijke tijd de onveilige instellingen van dealerbilt werden aangegeven met behulp van hackers om onveilige verbonden apparaten op een openbare website te detecteren. Wat was de laatste die werd gestolen? Onder andere kwesties, lonen en financiële informatie-identiteit dieven zijn dierbaar bij de sofi-nummers van klanten, het rijbewijsnummer en de datum of de geboorte, evenals werknemers van dealer.

De dealerbilt november november leerde over de overtreding op 25 november, toen een dealer belde en beweerde dat klantgegevens publiekelijk toegankelijk waren op internet. Volgens de FTC was het pas toen de dealer bouwde op de beveiligingszwakte van een journalist dat het bedrijf zich bewust werd van de open poort op zijn opslagapparaat.

Tel 1 Klacht FTC moet bekend zijn bij waarnemers. FTC heeft geklaagd dat het verzuim van de organisatie om een ​​redelijke afspraak te benoemen Bescherming De maatregelen waren een oneerlijke praktijk door de FTC -wet te overtreden. Graaf 2 is waardevol voor specificaties omdat de dealer de definitie van de “financiële instelling” van de ingebouwde dorp-billi-wet uitvoert. Activeer daarmee naleving GLB Safegards regelsWelke FTC heeft geklaagd dat de dealer is geschonden door gebouwd – onder andere – een schriftelijke informatie is niet om een ​​schriftelijk informatiebeschermingsprogramma te ontwikkelen, te implementeren en te onderhouden; Kan geen redelijk verwachte risico’s voor bescherming, privacy en de integriteit van klantinformatie identificeren; En slaagt er niet in om de basis Safhagard toe te passen en onderzoekt regelmatig hun effectiviteit.

Om de zaak te regelen, heeft het agentschap ermee ingestemd Voorgestelde bevel Deze omvatten belangrijke nieuwe bepalingen U wilt graag zorgvuldig beoordelen. Net als de ClicksSense- en EDressup -case -bestelling is aangekondigd in april, is een senior build -officier verplicht om het jaarlijkse toestemming te geven aan de FTC voor de voorgestelde bestelling. In deze volgorde vereist dealer ook het toepassen van specifieke, afdwingbare beveiligingssystemen die de klachten hebben aangepakt die het agentschap is om jaarlijkse werkgelegenheidstraining uit te voeren, zijn systemen te controleren op evenementen voor gegevensbescherming, toegangscontroles toe te passen en voorraadapparaten op zijn netwerk te observeren. Ook heeft de voorgestelde bestelling belangrijke wijzigingen aangebracht om de verantwoordingsplicht van de evaluatie van derden te verbeteren die verantwoordelijk is voor het herzien van het gegevensbeschermingsprogramma van de dealerbilt. Wat verder is, geeft de volgorde de FTCT de uitgebreide toegang tot documenten en andere materialen waarop de evaluator is gebaseerd op haar beslissing.

Waarom de afwikkelingsvoorwaarden bijwerken? De bepalingen van meer specifieke bestelling, focussen op het verplichte senior management beveiligingsprobleem, diepte ”Zie de onderkant van de motorkap“Evalitors die nodig zijn om de nodige beoordeling en nieuwe FTC -monitoringapparatuur te beoordelen om alle bestelling toestemming en – indien nodig – ontworpen voor toepassing te garanderen.

Nadat de voorgestelde regeling in het Federal Register was gepubliceerd, zou FTC openbare opmerkingen accepteren Gedurende 30 dagenDe Wat kunnen andere bedrijven uit de zaak nemen?

Train en controleer uw werknemers om centraal te staan ​​in de beveiliging. Het is een begin om iemand te nomineren om verantwoordelijk te zijn voor het beschermen van uw bedrijf, maar dat betekent niet dat u dan kunt doen alsof de zwakte niet bestaat. De bedrijven die de gevoelige persoonlijke informatie van de klanten beheren, hebben de verantwoordelijkheid om de beveiliging helemaal te overwegen. Beheer de training die geschikt is voor de aard van uw bedrijf en bijwerkt deze om het huidige risico en de dreiging weer te geven. Wat meer is, zorg ervoor dat iemand toezicht houdt op supervisors wier beslissingen een grote impact hebben op uw organisatie.

Oefen zorg bij het installeren van apparaten met netwerktoegang. Vastzitten in een vinger in een aansluiting, zoals toevoegen Gespecificeerd apparaat Het risico om voldoende op uw systeem te duwen. Denk aan de beveiligingseffecten en bevestig Dat is elk apparaat Correct geïnstalleerd.

GLB -dekking breed. De uitdrukking “financiële instelling” kan worden gekoppeld aan de tabellen, teller en penbeelden, maar niet hoe grammatica-blauwe regels dit woord definiëren. Overweeg of uw bedrijf een financiële instelling kan zijn die onderworpen zijn aan regels van GLB Safegards.

Als uw bedrijf software of leveranciers van derden gebruikt, maak dan bescherming in uw contract. Zelfs als een andere organisatie betrokken is bij het overtreden van gedrag, De jouwe De informatie van klanten kan gevaar lopen en wat ze zouden willen weten Jij Deed om ze te beschermen. Zodra de publicatie van FTC begint met bescherming, terwijl het leveren van gegevens aan services van derden, uw beschermingsverwachtingen spellen, observeren ze wat ze namens u doen en volgt de websites die over de zwakte rapporteren.

Leveranciers van services zijn verantwoordelijk voor de bescherming van persoonlijke gegevens verzameld en opgeslagen. Zelfs als uw activiteiten achter het scherm zijn, kunt u nog steeds verantwoordelijk zijn voor de overtreden van de wet. Als u namens andere agentschappen gevoelige consumentengegevens behandelt, moet de beveiliging in de voorkant staan.



Bronlink

Photo of Britt van den Heuvel Britt van den Heuvel1 dag ago
0 5 minutes read
Photo of Britt van den Heuvel

Britt van den Heuvel

Related Articles

Opena heeft net een vervolg op zijn meest populaire API gelanceerd

1 week ago

Ticktock’s ‘Recession Brunette’ De neiging om harde economische tijd te signaleren

1 week ago

Zal een schikking van $ 63 miljoen FTC-CFPB groene bomen aanmoedigen om nieuwe bladeren te draaien?

21 uur ago

Meer voordelen bezuinigingen zullen steunen op de overstromingen van de arbeidsrang. Isabel Hardman

1 week ago
© Copyright 2025, All Rights Reserved  
Back to top button