多米诺骨牌政策。涟漪的效果。蝴蝶事件。使用您选择的类比来描述何时发生 一 软件 开发人员据说较低的安全程序违反了机密的客户信息 四个 使用软件的企业。如果您的业务是服务提供商,或者您的公司使用第三方服务提供商来管理您的数据 建议的 FTC解决方案 优点您的重点。案件的重要特征:拟议的订单,其中包括新的数据安全要求,反映了当前委员会更新其数据安全订单的偏好。
许多第三方服务提供商将工业数据管理软件出售给面对企业的消费者。一个示例是由Light -In -In -Dealer Technologies开发的汽车经销商的软件。经销商是业务中的好名声,这是该国最大经销商的一些客户。许可经销商收集和维护有关消费者和员工的经销商软件的大规模重要财务,薪酬,会计以及其他信息。使用该软件的分销商可以托管他们的数据或将其托管在自己的服务器上。选择第二个选项的企业是在数据库之后的数据库上备份。
在不可避免的信息导致法律执法行动之前,我们将暂停考虑一次经销商账单的某些程序 抱怨。根据FTC:
- 清晰文本中存储的信息是经销商,没有任何访问控件或身份验证保护,例如密码或令牌。经销商和经销店数据库之间发送的数据是清晰的文本。
- 经销商中没有书面信息安全策略。
- 经销商没有为经销商员工或承包商提供合理的数据保护练习。
- 经销商不会通过进行风险价值或执行影响和渗透来评估其网络上重要数据的风险。
- dileproil尚未用于立即采取安全措施来监视经销商(除其他外)未经授权的努力来更改重要信息。
- 经销商Billil没有将合理的数据访问控件放置到位 – 例如,已知的IP地址需要授权访问组织或备份数据库以控制传入的连接。
- 没有合理的流程经销商经销商可以选择,安装和保护可以访问个人信息的设备。
在安全失败的情况下,不应该惊讶接下来发生的事情。为了增强可用的备份存储,经销商员工购买了存储设备,并于2015年4月在公司的网络上建立了它。他们会了解到,该设备已经创建了一个开放连接端口,该端口允许在某人检查的情况下更改信息。
2016年10月下旬,一名黑客前往开放式港口“步行”,以获取未经授权的访问权限的备份数据库,其中有超过1200万的消费者存储在其130个客户经销店中。 69,283下载了五个经销商的个人信息和完整的备份文件,并击中了计算机翻盖时间。并非全部,因为在相当长的一段时间内,黑客使用的公共网站上标记了经销商不安全的系统,以查找不安全的附件设备。最终被盗了?除其他外,消费者的社会保险号,驾驶执照号码和日期或出生以及经销商员工是财政和财务信息的五星级最爱。
2016年11月7日,当召集经销商时,经销商了解了违规行为,要求为什么在Internet上公开访问客户数据。据FTC称,该公司在其存储设备上意识到开放式港口,直到记者告诉经销商经销商。
1 抱怨 FTC应该是观众众所周知的。 FTC指控未能合理使用公司的公司 保护 违反FDC法律的行动是不公平的实践。第2次值得特别说明,因为经销商的农村 – 莉希·佩利法案符合法律“金融机构”的定义。它触发合规性 GLP安全规则它未能创建,实施和维护书面信息安全计划 – FTC声称违反了侵犯的经销商;无法确定在客户信息的安全,机密性和完整性中可以合理预期的风险;并且未能实施基本保护并定期测试其性能。
为了解决此案,公司已同意 拟议的命令 这包括重要的新规则 希望您仔细审查。 就像4月份宣布的Clicssens和Idrezab案件中的命令一样,在此案中,高级经销商必须向拟议命令签发年度合规证书。经销商要求该命令实施特定和实施的保护措施,以解决投诉中所述的投诉 – 例如,公司需要进行年度员工培训,监视其数据保护事件的系统,实施访问控制以及在其网络上实施货运设备。此外,拟议的命令旨在进一步提高负责审查经销商数据安全计划的第三方评估员的责任正在做出重大更改。此外,根据其结果,评估者可以增加对文档和其他材料的访问权限。
为什么续签解决方案术语? 最具体的订单规则,强制性高级政府专注于安全问题,深处”看蝙蝠的底部对评估人员以及所有新的FTC监视工具的评估旨在确保订单合规性 – 如有必要 – 执行。
一旦提出的解决方案发表在联邦注册表中,FTC将接受公众舆论 30天。其他公司可以从这种情况下采取什么措施?
培训并监督您的工作人员以安全性为中心。 这并不意味着您必须假装自己不惧怕雇用某人来对您的业务中的安全负责。从消费者那里处理重要个人信息的公司有责任考虑安全。行使适合您业务性质的员工行使,并以反映当前的风险和威胁来刷新它。此外,请确保有人监督对公司安全性有重大影响的主管。
使用网络访问安装设备时进行运动护理。 添加,好像将手指粘在插座上 一些设备 使您的计算机上有重大震动的风险。通过安全影响思考和确认 任何设备 正确安装了。
GLP覆盖范围很宽。 “金融研究所”一词可以由桌子上的链条建造,但革兰氏利希奖的规则不是如何定义单词的方式。考虑您的企业是否可以遵守GLB安全规则的金融机构。
如果您的公司使用第三方软件或提供商,请在合同中创建安全性。 尽管另一家公司参与违反行为,但 你的 客户的信息可能有风险,他们想知道他们的信息 你 我让他们保护他们。请遵循有关FTC发布从安全性开始的已知影响的报告,同时将数据交给第三方服务提供商,拼写您的安全性期望并代表您监视他们的工作。
服务提供商应承担责任,以保护他们收集和保存的个人数据。 即使您的功能在幕后,您仍然负责违反法律。如果您代表其他公司处理重要的消费者数据,则必须处于安全和安全中心。
