捷克公司,将教育产品和服务直接向高中和大学生出售。这包括租用教科书,指导客户寻找奖学金以及提供在线培训。但是,根据FTC的说法,ED技术公司的轻松安全程序在几年内造成了四起单独的数据违规行为,从而导致使用了有关大约4000万消费者的个人信息。 FTC投诉和提出的解决方案中的一些重要规则表明,Chegg的数据安全更新课程是当然的时候了。您的公司是否可以从FTC说捷克人未能创造质量的地方学习?
在其业务期间,总部位于加利福尼亚的捷克收集了有关许多客户的个人信息宝藏,包括他们的宗教信仰,遗产,出生日期,性取向,缺陷和父母的收入。甚至负责网络安全的捷克员工也将收集的数据描述为其奖学金搜索服务的一部分。
检查是Checkin信息技术基础架构,简单存储服务(S3)的重要组成部分,该服务(S3)是提供Amazon Web Services(AWS)的云储蓄服务,该服务用于保存大量捷克客户和员工数据。您想阅读投诉以获取详细信息,但是FTC引用了许多捷克所做的示例 – 并且没有按照公司代表宽松的安全程序来做。例如,FTC指责:
- 捷克语允许员工和第三方承包商使用单个访问密钥访问S3数据库,该密钥在所有信息中提供完整的管理优惠。
- Chegg不需要多个因素身份验证S3数据库的帐户访问。
- 他没有对数据进行加密,而是用简单的文本存储了捷克用户和员工的个人信息。
- 直到2018年4月,捷克语“保留”密码具有过时的加密哈希功能。
- 至少在2020年4月,捷克语未能为员工和承包商提供足够的数据保护练习。
- 检查没有货物的流程,也没有从客户和员工那里删除个人信息。
- 捷克语未能从其计算机监视其网络,而无法非法替换重要的数据以进行未经授权的工作。
令人惊讶的是,四个单独的章节导致非法表达个人信息?事件#1从捷克员工出现,进行网络钓鱼攻击,使数据小偷可以访问员工的直接存款工资信息。事件#2包括一名前承包商,他使用捷克的AWS证书从公司的S3数据库之一中捕获重要对象,该对象找到了通往公共网站的方式。
后来的事件#3:一场网络钓鱼攻击占据了捷克高级管理员,并允许入侵者避免公司的多范围E -MAIL识别。进入管理员的E -Mail框后,肇事者可以访问有关消费者的个人信息,包括财务和医疗信息。在事件#4中,负责工资的高级雇员跌至另一场网络钓鱼袭击,从而提供了对公司工资系统的访问权限。随着大约700名W-2现任和前任雇员的渗透,包括其出生日期和社会保险号。
FTC指责FTC在投诉中引用的四个案例中未能采取简单的预防措施 这将有助于防止或发现对消费者和员工数据的威胁 – 例如,员工必须在网络钓鱼工作的三角迹象中进行数据保护练习。
为了解决此案,捷克人同意详细重组其数据安全程序。作为拟议订单的一部分,支票必须遵循一个表,该表设置了其收集的个人信息,为何收集信息以及消除数据的时间。此外,捷克客户需要访问收集的有关它们的信息,并将荣誉效果带来删除该数据的要求。应为捷克客户和员工提供两个因素身份验证或另一种身份验证方法,以帮助保护其帐户。一旦出现了联邦注册表中的拟议命令,FDC将接受公众意见30天。
其他公司可以从捷克的课程中学到什么?
保存重要信息时的特殊护理。 一旦您的公司拥有重要的信息,您就会根据自己的责任来确保其安全。数据通过后,对安全的公司安全处理了它。但是最初的问题是您是否首先需要这种秘密数据。如果您不收集它,则不必保护它。
控制对重要信息的访问。 当您最喜欢的乐队来到城市时,所有对背景通行证的访问看起来都像炸弹爆炸,但这是管理公司中数据的可怕想法。控制与员工和承包商的访问,该数据将是他们工作的重要组成部分。但是,当项目完成或责任发生变化时,立即断开其访问权限。
立即响应数据事件。 是捷克人 遵循带下划线的基础知识 从安全性开始 。但是,享受数据安全事件(当前四起数据保护事件)必须触发对检查程序的详细审查。
进行定期的内部安全练习。 作为登机过程的一部分,请向新员工和承包商了解您的安全标准。当威胁和风险变化时,不时继续续签。我们知道,内部训练有时会触发眼动,归咎于那些糟糕的高中健康课程片段,但没有法律可以对数据安全培训感到无聊。是的,您需要参与ID人员,但也需要在公司中咨询创造力。颜色,视频,测验,IRL故事等将帮助您吸引观众。您不必开始新的。 ftc s 小型企业资源的互联网安全 可能是一些灵感。
