Gegevensbeveiligingswaarnemers hebben met belangstelling de uitspraak van het Amerikaanse Hof van Beroep van eerder dit jaar gelezen FTC tegen Wyndhambevestigt de bevoegdheid van de FTC om vermeend lakse praktijken op het gebied van gegevensbeveiliging, gebaseerd op oneerlijke handelingen in de FTC Act, aan te vechten. Wij beschouwen de beslissing als een mijlpaaloverwinning voor consumenten en bedrijven van elke omvang die zich inzetten om de persoonlijke informatie van klanten veilig te houden. Nu is er nog een belangrijke ontwikkeling in de handhavingsactie van de FTC tegen Wyndham en je wilt er als eerste van op de hoogte zijn.
Kortom, de FTC klaagde Wyndham en drie van haar dochterondernemingen in 2012 aan, met het argument dat tekortkomingen in de gegevensbeveiliging in minder dan twee jaar tijd tot drie inbreuken hadden geleid. Volgens de klachthackers infiltreerden in het netwerk van een Wyndham-franchisenemer en maakten vervolgens misbruik van beveiligingszwakheden in het bedrijfsnetwerk van Wyndham om gevoelige consumentengegevens van tientallen andere Wyndham-franchisenemers te verzamelen. De inbreuk resulteerde in de overdracht van accountgegevens van honderdduizenden consumenten naar in Rusland geregistreerde websites – en miljoenen dollars aan frauduleuze afschrijvingen op de creditcards en debetkaarten van consumenten. De rechtbank oordeelde dat de FTC de bevoegdheid heeft om het gedrag van Wyndham aan te vechten onder de FTC Act. Het Derde Circuit hoorde onmiddellijk een beroep over de juridische kwestie en beslist in het voordeel van de FTC.
Vandaag hebben de FTC en Wyndham de aankondiging gedaan voorgestelde oplossing in dit geval. Lees de bestelling voor meer informatie, maar bekijk ook de voorwaarden van deze opmerking.
Op grond van Deel I van het voorgestelde besluit moeten bedrijven een alomvattend informatiebeveiligingsprogramma opzetten om de gegevens van kaarthouders te beschermen, inclusief betaalkaartnummers, namen en vervaldata, en moeten ze de komende twintig jaar elk jaar gerelateerde informatiebeveiligingsaudits uitvoeren.
Bovendien vereist de Order dat Wyndham specifiek rekening houdt met de risico’s die voortvloeien uit netwerkverbindingen tussen hotels onder het merk Wyndham en de datacenters van het bedrijf. De FTC beschouwt dit als een belangrijke bepaling omdat de schendingen die in de klacht worden beweerd voortkomen uit zwakke punten in de relatie.
Deel II van de Order vereist dat Wyndham jaarlijks een onafhankelijke beoordeling verkrijgt op basis van de Payment Card Industry Data Security Standard – de meeste bedrijven kennen deze als PCI DSS – een industriestandaard voor entiteiten die creditcards accepteren. Maar daar houdt het niet op. Deel II bevat aanvullende bepalingen om te versterken wat vereist is onder PCI DSS. Deze aanvullende bepalingen omvatten onder meer de eis dat onafhankelijke externe auditors moeten certificeren dat:
- Wyndham onderhoudt relaties met zijn franchisehotels;
- Wyndham voert een uitgebreide risicobeoordeling uit, zoals uiteengezet in de PCI-DSS-richtlijnen voor risicobeoordeling; En
- De accountants zijn volledig onafhankelijk van Wyndham.
Als uit de onafhankelijke beoordeling vereist door Deel II blijkt dat Wyndham volledig aan de regels voldoet, zal de FTC het bedrijf beschouwen als in overeenstemming met het uitgebreide informatiebeveiligingsprogramma dat ook vereist wordt door Deel I. Alle weddenschappen zijn echter uitgesloten als Wyndham op enigerlei wijze auditors misleidt of systemen aanzienlijk verandert na de audit.
Wat is zijn erfenis FTC tegen Wyndham? Eerst, Beslissing van het hof van beroep beweert dat de FTC Sectie 5 gebruikt om onredelijke gegevensbeveiligingspraktijken aan te vechten. Ten tweede bieden de lessen uit deze zaak – en meer dan vijftig andere FTC-regelingen voor gegevensbeveiliging – richtlijnen voor andere bedrijven bij het inbouwen van op gezond verstand gebaseerde beveiliging in uw dagelijkse activiteiten.
De FTC heeft dat gedaan gratis middelen om het bedrijf te helpen begin met veiligheid.
