Equifax可能向美国支付高达7亿美元的和解费用

在另一个例子中,监管机构如何增加对那些导致数据违规的基本错误的公司不宽容,美国联邦贸易委员会(U.U.S.FederalTradeCommission)在2017年的一个事件中与EquifaxInc.达成了数百万美元的和解协议,该事件暴露了约1.47亿人的个人信息。

Equifax同意至少支付5.75亿美元(美国),可能高达7亿美元,作为全球结算与FTC、美国消费者金融保护局和美国50个州和地区的一部分,这些国家和地区声称,信用报告公司未能采取合理措施来确保其网络受到违反。

“Equifax未能采取可能妨碍约1.47亿消费者的违约行为的基本步骤,”说,联邦贸易委员会主席乔西蒙斯。“该结算要求公司采取措施改善其数据安全,并确保受这种违约影响的消费者能够得到保护自己免遭身份盗窃和欺诈的帮助。”

周一宣布的拟议解决仍需得到美国地区法院的批准。

4月,加拿大联邦隐私事务专员DanielTherrien发现,尽管在网络安全方面花费了数百万美元,但公司的安全保障差;保留的信息太长;没有足够的同意程序;对加拿大人的信息缺乏问责,并在违反行为后向受影响的个人提供了有限的保护措施。有关19000名加拿大人的信息暴露在违反行为中。

Therrien还抱怨说,加拿大没有为加拿大的受害者提供同样的信用监控保护,美国的受害者获得了同样的信用监控保护,特别是有能力冻结他们的档案,以确保黑客无法利用他们的信用评级。

根据《个人资料保护法》和《电子文件法》的修改,隐私专员没有权力发布罚款,因为不遵守法律对保障个人资料的义务。Therrien曾敦促政府多次给他权力。

拟议中的美国定居点就这样破裂了:

-3亿美元用于向受影响的美国消费者提供信贷监测服务的基金。该基金还将向那些从Equifax购买信贷或身份监控服务的消费者提供补偿,并支付2017年数据泄露导致的其他自掏腰包费用。

-如果初始付款不足以补偿消费者的损失,Equifax将向基金总计1.25亿美元。此外,从2020年1月开始,Equifax将在7年内每年向所有美国消费者提供6份免费信用报告--此外,Equifax和另外两个全国性的信用报告机构还将提供一份免费的年度信用报告。

-1.175亿美元至48个国家、哥伦比亚特区和波多黎各。

-美国消费者金融保护局(美国消费者金融保护局)处以1亿美元的民事处罚。

除了这些财务处罚外,Equifax还必须执行一项全面的信息安全方案,要求公司指定一名雇员监督信息安全方案;对内部和外部安全风险进行年度评估,并实施保障措施;从Equifax董事会或相关小组委员会获得年度认证,证明该公司遵守了该命令,包括其信息安全要求;并确保服务提供商能够访问Equifax公司储存的个人信息,并实施充分的数据保护保障措施。

FTC在其声明中称,Equifax在2017年3月被提醒到影响ACIS数据库的关键安全漏洞后,未能修补其网络,该漏洞处理消费者关于其个人信用数据的询问。即使Equifax的安全团队要求在接到警报后48小时内修补公司的每个易受攻击的系统,但Equifax并未跟进,以确保由负责的员工执行订单。

事实上,Equifax直到2017年7月才发现其ACIS数据库未被访问,当时其安全小组在其网络上发现了可疑的流量。一家公司的调查显示,多名黑客能够利用ACIS漏洞进入Equifax的网络,在那里他们访问了一个安全的文件,其中包括存储在纯文本中的管理凭据。这些凭据使黑客能够访问大量消费者个人可识别的信息,并在Equifax的网络上运行数月未被发现。

黑客针对的是社会保险号码、出生日期和其他敏感信息,主要来自于从Equifax购买产品(如信用分数、信用监控或身份防盗服务)的消费者。例如,黑客偷了至少1.47亿的姓名和出生日期、1.4550万美国社会保障号码以及20.9万支付卡号码和到期日。

根据投诉的“黑客能够访问惊人数量的数据,因为Equifax未能实现基本的安全措施,”.“这包括未能执行策略,以确保修补安全漏洞;如果一个数据库遭到破坏,则无法对其数据库服务器进行分段以阻止对网络的其他部分的访问;以及未能为其传统数据库安装强大的入侵检测保护。此外,FTC还声称,在纯文本中,等传真存储的网络凭据和密码以及社会安全号码和其他敏感的消费者信息。”

尽管未能执行基本的安全措施,但等传真的隐私政策指出,它限制了对消费者的访问权”个人信息和实施的“合理的物理、技术和程序保障”来保护消费者数据。

联邦贸易委员会声称,Equifax违反了联邦贸易委员会法禁止不公平和欺骗性做法的规定和Gramm-Leach-Bliley法案的保障规则,该规则要求金融机构制定、实施和维持一个全面的信息安全方案,以保护客户信息的安全、保密和完整性。

“最近的等传真结算的规模应该表明保护和保护消费者数据的重要性,并表明监管机构对确保他们受委托的复杂和私人消费者信息的公司是严重的,”指出,万事达(MasterCard)NuDataSecurityDivision的DevOps工程总监贾斯汀·福克斯(JustinFOX)表示:“尽管Equifax帮助个人从这一违反行为中恢复,它将需要数年时间,并在整个范围内是显而易见的,并且预期会产生巨大的影响。各组织必须采取措施,确保所有的消费者和员工数据,教育员工,这样他们不会点击网络钓鱼电子邮件,并持续监控入侵的网络,24到7。最重要的是,组织需要更加勤奋地对其系统、网络和软件进行主动审查,以快速发现系统和过程漏洞,并应用适当的缓解技术。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。