Perjanjian Wyndham dengan FTC: Apa artinya bagi bisnis – dan konsumen

Pengamat keselamatan data membaca Pengadilan Banding AS awal tahun ini. FTC / WYNDHAMUntuk melindungi otoritas untuk menantang praktik keselamatan data yang longgar sesuai dengan undang -undang FTC FTC untuk garpu ketidakadilan. Kami melihat keputusan ini sebagai kemenangan tonggak bagi perusahaan dari semua ukuran yang bertekad untuk menjaga informasi pribadi konsumen dan pelanggan tetap aman. Sekarang FTC memiliki perkembangan besar lainnya dalam penegakan hukum terhadap Wyndham Dan Anda ingin menjadi yang pertama.

Cukup meringkas, FTC mengajukan kasus Wyndham dan tiga anak perusahaan pada tahun 2012 dan mengklaim bahwa kegagalan keselamatan data menyebabkan tiga pelanggaran dalam waktu kurang dari dua tahun. KeluhanBajak laut komputer bocor ke jaringan pemilik waralaba Wyndham, dan kemudian menggunakan keamanan longgar di jaringan perusahaan Wyndham untuk mendapatkan data konsumen yang sensitif dari lusinan waralaba Wyndham lainnya. Pelanggaran ini mengakibatkan transfer sekitar ratusan ribu konsumen ke situs web terdaftar di Rusia dan transfer konsumen ke jutaan dolar tuduhan penipuan kartu kredit dan debit. Terkait pengadilan regional FTC memiliki wewenang untuk menantang perilaku Wyndham di bawah undang -undang FTC. Sirkuit ketiga segera mendengar daya tarik masalah hukum ini dan Memerintah demi FTC.

Hari ini, FTC dan Wyndham mengumumkan Penyelesaian yang disarankan Jika. Anda akan ingin membaca pesanan untuk detailnya, tetapi periksa ketentuan nilai ini.

Berdasarkan Bagian I, Perusahaan harus membuat program keamanan informasi yang komprehensif untuk melindungi data pemegang kartu, termasuk nomor kartu pembayaran, nama dan tanggal kedaluwarsa, dan melakukan audit keamanan informasi tahunan setiap tahun selama 20 tahun ke depan.

Selain itu, pesanan mengharuskan Wyndham untuk mempertimbangkan risiko yang timbul dari koneksi jaringan antara hotel bermerek Wyndham dan pusat data perusahaan. FTC dipandang sebagai ketentuan penting karena dugaan pelanggaran dalam pengaduan disebabkan oleh kelemahan dalam koneksi ini.

Ii. Departemen mengharuskan Wyndham untuk menerima penilaian independen tahunan dalam ruang lingkup Standar Keamanan Data Industri Kartu Pembayaran – Sebagian besar bisnis mengetahui hal ini sebagai PCI DSS, standar industri untuk organisasi yang menerima kartu kredit. Tapi itu tidak berakhir di sini. Bagian II berisi ketentuan tambahan untuk mendukung yang diperlukan di bawah PCI DSS. Ketentuan tambahan ini memerlukan auditor pihak ketiga yang independen untuk menyetujui yang berikut untuk mengkonfirmasi yang berikut.

• Wyndham melindungi koneksi dengan hotel waralaba;
• Wyndham membuat penilaian risiko yang komprehensif, sebagaimana dinyatakan dalam panduan penilaian risiko PCI-DSS; Dan
• Auditor sangat independen dari Wyndham.

Jika penilaian independen yang diperlukan oleh Bab II menentukan bahwa Wyndham dalam harmoni penuh, FTC akan berpikir bahwa ini sesuai dengan program keamanan informasi yang komprehensif yang diperlukan oleh Bab I. Namun, jika Wyndham menipu auditor dengan cara apa pun atau mengubah sistem secara signifikan setelah audit, semua taruhan ditutup.

Apa warisannya FTC / WYNDHAM? Pertama, Keputusan Pengadilan Banding Ini mengkonfirmasi penggunaan FTC Bagian 5 untuk menantang aplikasi keselamatan data yang tidak masuk akal. Kedua, kursus kasus ini dan 50+ FTC lainnya penyelesaian keselamatan data lainnya-bisnis lainnya menawarkan panduan untuk menciptakan keamanan logis dalam operasi harian Anda.

FTC memiliki sumber daya gratis untuk membantu perusahaan mulai dengan keamanan.