FTC严厉打击犹他州公司的全面数据安全
![]() | 理查德·哈里斯在安全十一月星期四 |
一家位于犹他州的科技公司已同意使用数据安全计划来解决FTC的指控
一家位于犹他州的科技公司已同意实施一项全面的数据安全计划,以解决联邦贸易委员会的指控,指称该公司未能采取合理的安全措施,从而使黑客无法访问一百万消费者的个人信息。
InfoTrax Systems L C为多层营销人员提供后端操作服务,其中包括补偿库存订单会计培训和数据安全以及操作其客户网站门户等服务
FTC在其投诉中声称,InfoTrax及其前首席执行官马克·罗林斯(Mark Rawlins)未能使用合理的低成本且易于获得安全防护保护代表客户维护的个人信息,包括未能
- 清点并删除不再需要的个人信息
- 对其软件进行代码审查并对其网络进行测试
- 检测恶意文件上传
- 充分细分其网络
- 实施网络安全防护措施以检测其网络上的异常活动
此外,联邦贸易委员会(FTC)指控InfoTrax存储了消费者个人信息例如社会安全号码,支付卡信息,银行帐户信息以及其网络上清晰易读的用户名和密码
FTC消费者保护局局长安德鲁·史密斯(Andrew Smith)表示,像InfoTrax这样的服务提供商并没有因为他们的客户是其他企业而不是个人消费者而保护自己处理的敏感数据,因为这种情况表明,每个公司都有责任保护客户的个人信息,特别是敏感数据,例如社会保险号
由于公司的安全故障黑客渗透从5月到3月,InfoTrax的服务器以及公司代表客户维护的网站的次数超过了3月。根据投诉,入侵者访问了大约100万消费者的敏感个人信息。
InfoTrax直到3月才收到警报,通知其服务器已达到最大容量,之后才检测到这些入侵。此警报归因于黑客渗透到其网络的黑客创建的数据存档文件。InfoTrax的安全性故障不仅影响了其网络,还影响了网站FTC称其客户
入侵者获得的个人信息可用于进行身份盗窃和欺诈。FTC声称InfoTrax未能为其提供的个人数据提供合理的安全性违反了FTC禁止不正当行为的禁令。
作为与FTC InfoTrax和Rawlins达成和解的提议的一部分,除非他们实施信息安全程序以解决投诉中指出的安全故障,否则它们不得收集销售共享或存储个人信息,其中包括评估和记录实施内部和外部安全风险保护个人信息免受网络安全风险的保护措施,以及测试和监视这些保护措施的有效性
此外,提议的和解方案要求公司每两年获得其信息安全计划的第三方评估。根据该命令,评估师必须指定支持其结论的证据,并进行独立的抽样员工访谈和文件审查。最后,该命令授予委员会每两年评估期批准评估人的权限
委员会投票表决发出行政申诉并接受提议同意书与InfoTrax和Rawlins的关系专员Christine S Wilson发表了一份赞同的声明
美国联邦贸易委员会(FTC)将很快在《联邦公报》中发布有关同意协议的说明。该协议将在《联邦公报》上发布后的数天内接受公众评论,然后由委员会决定是否将拟议的同意令最终定下来。张贴在法规gov