Equifax acordó pagar al menos $ 575 millones como parte de un acuerdo global de reclamos derivados de una violación de datos de 2017 que afectó a 147 millones de estadounidenses, anunció el lunes la Comisión Federal de Comercio de EE. UU.
El acuerdo con la Comisión Federal de Comercio, la Oficina de Protección Financiera del Consumidor y 50 estados y territorios podría alcanzar los $700 millones.
En su demanda contra Equifax, la FTC alega que la agencia de informes crediticios no protegió la gran cantidad de información personal almacenada en su red, lo que resultó en la divulgación de millones de nombres y fechas de nacimiento, números de Seguro Social, direcciones físicas y otros datos personales. información que podría conducir al robo de identidad y al fraude.
Como parte del acuerdo propuesto, Equifax pagará $300 millones para financiar los servicios de control de crédito para los consumidores.
El fondo también compensará a los consumidores que compraron servicios de monitoreo de crédito o identidad de Equifax y pagaron otros gastos de bolsillo como resultado de la violación de datos.
Se agregarán $125 millones adicionales si el nivel de financiación inicial es inferior al monto requerido para compensar a los consumidores por las pérdidas.
Además, a partir de enero de 2020, Equifax proporcionará a todos los consumidores de EE. UU. seis informes crediticios gratuitos por año durante siete años, además de Equifax y otras dos agencias nacionales de informes crediticios que actualmente deben proporcionar un informe crediticio anual gratuito a pedido Informe.
La compañía también acordó pagar $175 millones a 48 estados, el Distrito de Columbia y Puerto Rico, y una sanción civil de $100 millones a la CFPB.
«Las empresas que se benefician de la información personal tienen responsabilidades adicionales para proteger esos datos», dijo el presidente de la FTC, Joe Simmons.
«Este acuerdo requiere que la compañía tome medidas para mejorar la seguridad de sus datos en el futuro y garantizará que los consumidores que se vieron perjudicados por esta violación tengan acceso para protegerse contra el robo de identidad y el fraude», agregó.
No solo grandes pagos
Además de los términos financieros del acuerdo, Equifax acordó implementar un programa integral de seguridad de la información que incluye las siguientes medidas:
- Designar a un empleado para supervisar el programa de seguridad de la información;
- Llevar a cabo evaluaciones anuales de los riesgos de seguridad internos y externos e implementar medidas de protección para abordar los riesgos potenciales, incluidas las políticas de gestión de parches y remediación de seguridad, mecanismos de intrusión en la red y otras medidas de protección;
- Obtener una certificación anual de la Junta Directiva de Equifax o del subcomité correspondiente de que la empresa ha cumplido con la orden, incluidos sus requisitos de seguridad de la información;
- Probar y monitorear la efectividad de las salvaguardas de seguridad; y
- Asegúrese de que los procedimientos de los proveedores de servicios para acceder a la información personal almacenada por Equifax implementen medidas de seguridad adecuadas para proteger dichos datos.
Para garantizar el cumplimiento del acuerdo, Equifax debe obtener una evaluación de terceros de su programa de seguridad de la información cada dos años. El protocolo requiere que los evaluadores especifiquen la evidencia que respalda sus conclusiones y que realicen muestreos independientes, entrevistas a los empleados y revisiones de documentos. Además, la FTC tiene la última palabra sobre cualquier evaluador que seleccione Equifax.
La orden también requiere que Equifax proporcione a la FTC actualizaciones anuales sobre el estado del proceso de reclamos de los consumidores.
La FTC ha establecido una dirección de correo electrónico para los denunciantes de Equifax: [email protected].
prueba de peligro
Aunque la FTC fija el pago mínimo de Equifax en $525 millones, el pago real podría ser menor, dice el analista de la industria Ted Rossman.red de tarjetas de crédito.
«Van a pedirle a la gente que afirme cómo se han visto perjudicados económicamente por ello», dijo al E-Commerce Times.
«Si bien fue una gran brecha, la información nunca apareció en la web oscura, y las personas no sufrieron tanto daño financiero como temíamos», observó Rothman.
«Parece ser algún tipo de robo por parte del gobierno o de las agencias de inteligencia», continuó. «Realmente no es robo de dinero, es robo de información, así que no creo que la gente pueda reclamar el beneficio financiero completo».
Un servicio común que se ofrece a las víctimas de violaciones de datos es el control de crédito.
«Es un gesto vacío», dorsey y whitneyuna firma de abogados internacional con sede en la ciudad de Nueva York.
«He trabajado en muchos casos como este, pero menos del 10 % de ellos recibió monitoreo de crédito», dijo al E-Commerce Times.
«Ciertamente es importante que los consumidores controlen su crédito, pero si algo sale mal, el verdadero desafío es abordar el fraude y reparar de manera proactiva el crédito dañado», dijo Willy Leichter, vicepresidente de marketing de la compañía. vesakuna empresa de seguridad de aplicaciones.
«La cobertura gratuita no hace eso», dijo a E-Commerce Times.
Las pautas para los pagos de los fondos de Equifax a los consumidores aún no se han determinado. “Será interesante ver qué tipo de reclamos aceptarán, cuáles serán sus criterios y cuánto pagarán”, dijo el vicepresidente de ITIF, Daniel Castro. Fundación para la Innovación y las Tecnologías de la Informaciónuna organización de investigación y políticas públicas con sede en Washington, DC
«Hay mucho dinero por ahí, pero parece que la mayor parte va a los abogados», dijo al E-Commerce Times. «Ese es uno de los problemas de crear un derecho de acción privado para estos casos de violación de datos. Crea más oportunidades para que los abogados lleguen a grandes acuerdos. Los consumidores a menudo no ven el impacto tangible».
más que un golpe de muñeca
Un importante acuerdo reciente sobre una violación de datos parece indicar a las empresas que los reguladores se están tomando el problema en serio.
«Cuando Equifax y British Airways tuvieron infracciones en 2017, los reguladores parecieron dejarlos libres», Circunferencia Xun proveedor de servicios de ciberseguridad con sede en San Mateo, California.
«La FTC y el RGPD están imponiendo multas significativas para responsabilizar a estas grandes empresas por infracciones que involucran datos confidenciales de los usuarios», dijo a Ecommerce Times.
British Airways recibió recientemente una multa de 230 millones de dólares en virtud del RGPD (Reglamento general de protección de datos) de la Unión Europea por una falla en el sitio web que afectó los datos personales de alrededor de 500 000 clientes.
Multa de GDPR limitada al 4% de los ingresos globales, dice el CEO Pravin Kothari nube de contraseñasun proveedor de seguridad en la nube con sede en San José, California.
Sin embargo, la FTC ha llegado a un acuerdo con algunas empresas por mucho más que eso. El acuerdo con Facebook representó aproximadamente el 9 % de los ingresos y el acuerdo con Equifax representó aproximadamente el 25 % de los ingresos.
«Esto sienta un nuevo precedente y recuerda a todas las empresas que tengan mucho cuidado», dijo Kothari al E-Commerce Times.
“Sin embargo, muchas empresas aún no están haciendo lo suficiente para proteger la información confidencial de sus clientes. No se dan cuenta de que Internet y los servicios en la nube no son invulnerables”, dijo. «Piensan que su información está segura con el proveedor de servicios, pero una simple configuración incorrecta, un error o un mal uso de una API puede generar un riesgo y una interrupción significativos».
cambiar el costo a los ladrones
Leicher de Virsec señaló que una multa considerable cambiaría la ecuación de riesgo que muchas empresas utilizan para determinar su nivel de inversión en seguridad, «pero dada la escala de la filtración de Equifax, dicha sanción es relativamente leve y probablemente tendrá poco impacto inmediato en otros negocios y Minimal para tener un impacto directo en la mejora de la seguridad del consumidor».
Las grandes multas pueden alentar a algunas empresas a invertir más en seguridad cibernética, pero lo que realmente se necesita es compromiso, dijo Torsten George, un evangelista de seguridad cibernética en Centrify, una empresa de autenticación y control de acceso en Santa Clara, California.
«Las empresas deben comprometerse firmemente a proteger los datos confidenciales de los clientes», dijo al E-Commerce Times. «Estos acuerdos no tendrán un impacto apreciable sin este compromiso y un enfoque de ciberseguridad que pueda tener un impacto real en el entorno de amenazas moderno y contrarrestar a los atacantes modernos».
La protección de datos debe volverse más personal, especialmente para los ejecutivos de negocios, aconseja Tim Bedard, director de marketing de productos de seguridad. un lapsouna empresa de análisis de fraude y verificación de identidad con sede en Chicago.
«A menos que los reguladores implementen nuevas regulaciones y cumplimiento que responsabilicen personalmente al liderazgo ejecutivo de las organizaciones por la seguridad y protección de la información de identificación personal de los consumidores, los acuerdos futuros a gran escala solo llegarán hasta cierto punto», dijo a E-Commerce Times.
«Los consumidores no deben asumir el costo de los delitos informáticos, pero tampoco otras víctimas de delitos, como los proveedores», dijo Michael Crowther, director global de datos y confianza. visitar asociaciónuna firma global de políticas públicas al servicio de la industria de la tecnología, con oficinas en los cinco continentes.
«En última instancia, los gobiernos, los proveedores y los consumidores deberán encontrar una manera de ‘acumular’ los costos a los delincuentes», dijo a E-Commerce Times. «Creo que con el tiempo las tecnologías emergentes, incluida la inteligencia artificial, harán que esto sea una realidad».
