La Comisión Federal de Comercio de EE. UU. está trabajando en una resolución para fortalecer la aplicación de fallas de seguridad en las transacciones de comercio electrónico. La acción reciente de la agencia que involucra acusaciones de actividad inapropiada por parte del proveedor de teleconferencias Zoom Video Communications es un ejemplo notable.
En el acuerdo con Zoom, la FTC planteó demandas muy específicas a la empresa sobre cuestiones de seguridad y privacidad relacionadas con los servicios de Zoom. El acuerdo del 13 de noviembre de 2020 entró en vigencia después de que expiró el período de comentarios a mediados de diciembre.
La FTC dijo que el acuerdo con Zoom requiere que la compañía «implemente un programa sólido de seguridad de la información para abordar las acusaciones de que el proveedor de videoconferencias participó en una variedad de prácticas engañosas e injustas que comprometen la seguridad de sus usuarios».
Zoom no ha admitido ni negado las acusaciones del comité de que aceptó el acuerdo.
Tabla de Contenidos
Efectos dominó generalizados del comercio electrónico
Es importante destacar que, en el área del comercio electrónico, las acciones de la Comisión en el caso Zoom no solo reflejan una política interna de fortalecimiento de la aplicación de las cuestiones del comercio electrónico.Según Cleary Gottlieb, la acción de la FTC también refleja una decisión de un tribunal federal que condujo a la acción de la comisión para emitir acciones de cumplimiento más estrictas y específicas en lugar de requisitos de cumplimiento más generales. analisis de CASO.
Además, el impacto de las acciones de la FTC se extiende mucho más allá de los servicios de videoconferencia y afecta una amplia gama de actividades de comercio electrónico. «La decisión de Zoom definitivamente se aplica ampliamente», dijo Kathryn Benvey, su socia. Alston y pájaroLa decisión de la FTC «brinda una lección para cualquier empresa que recopile electrónicamente información personal de los consumidores. Sería prudente que estas empresas revisaran cuidadosamente las quejas y órdenes de Zoom para asegurarse de que sus sistemas y procesos no planteen problemas similares», dijo a E- Tiempos de Comercio.
La especificidad de las alegaciones de la FTC en el caso de Zoom proporciona una idea de los tipos de transacciones de comercio electrónico que preocupan a la Comisión y que podrían afectar la aplicación.
En su queja, la FTC dijo que desde al menos 2016, Zoom había engañado a los clientes al afirmar que ofrecía «cifrado de 256 bits de extremo a extremo» para proteger las comunicaciones de los usuarios «cuando en realidad ofrecía un nivel más bajo de seguridad». La FTC explicó que dijo que el cifrado de extremo a extremo es una forma de asegurar las comunicaciones para que solo el remitente y el receptor, nadie, ni siquiera el proveedor de la plataforma, puedan leer el contenido.
La FTC dijo que Zoom mantuvo las claves de encriptación que realmente le dieron a la empresa acceso al contenido de sus reuniones con los clientes y protegió un poco sus conferencias telefónicas con niveles de encriptación inferiores a los prometidos. Según un estudio de caso de Alston y Bird, Zoom admitió en abril de 2020 que sus servicios generalmente no son capaces de encriptarse de extremo a extremo.
Según la denuncia de la FTC, Zoom también engañó a algunos usuarios que querían almacenar las actas de las reuniones en el almacenamiento en la nube de la empresa, afirmando falsamente que esas reuniones se cifraron inmediatamente después de la reunión. En cambio, algunas grabaciones supuestamente se almacenaron sin cifrar en los servidores de Zoom hasta por 60 días antes de trasladarse a su almacenamiento seguro en la nube.
Además, Zoom implementa un mecanismo operativo asociado con el navegador Safari de Apple, que la FTC describe como una forma de eludir las protecciones de seguridad y privacidad de Safari sin la notificación adecuada o el consentimiento del usuario. La comisión argumentó que el despliegue equivalía a un acto o práctica desleal.
El acuerdo requiere múltiples medidas de cumplimiento
Zoom acordó establecer e implementar un plan de seguridad integral y adherirse a otras medidas detalladas para proteger su base de usuarios, que aumentó de 10 millones en diciembre de 2019 a abril de 2020 en medio de la pandemia de COVID-19, dijo la FTC 300 millones. del acuerdo, Zoom:
- Evaluar y documentar anualmente cualquier posible riesgo de seguridad interno y externo y desarrollar métodos para prevenir tales riesgos;
- Implementar un plan de gestión de vulnerabilidades; y
- Implemente protecciones como la autenticación multifactor para evitar el acceso no autorizado a su red, establezca controles de eliminación de datos y tome medidas para evitar el uso de credenciales de usuario comprometidas.
Además, se requerirá que el personal de Zoom revise cualquier actualización de software en busca de vulnerabilidades de seguridad y debe asegurarse de que las actualizaciones no interfieran con las funciones de seguridad de terceros, como lo que sucede con el mecanismo Safari de Apple.
El acuerdo también prohíbe a la empresa hacer declaraciones falsas sobre sus prácticas de privacidad y seguridad, incluida la forma en que recopila, usa, mantiene o divulga información personal, sus características de seguridad y la medida en que los usuarios pueden controlar la privacidad o seguridad de su información personal. .
“La seguridad de nuestros usuarios es la principal prioridad de Zoom”, dijo la compañía en respuesta al acuerdo.
«Nos tomamos en serio la confianza que nuestros usuarios depositan en nosotros todos los días, especialmente porque confían en nosotros para mantenerse conectados durante esta crisis global sin precedentes, y continuamos mejorando nuestros programas de seguridad y privacidad. Estamos encantados con el progreso que hemos logrado en la plataforma Orgullosos de haber abordado los problemas identificados por la FTC. Nuestra resolución con la FTC está en línea con nuestro compromiso con productos innovadores y mejorados a medida que brindamos una experiencia de comunicación de video segura «, dijo la compañía en un comunicado a E-Commerce. Times por la portavoz Kelsey Markovich declaró en la respuesta.
La FTC permanecerá atenta a la seguridad y la privacidad
La decisión de Zoom es una clara señal de una postura de cumplimiento más agresiva por parte de la FTC. El socio de Cleary Gottlieb, Alexis Collins, dijo: «Creo que la FTC se duplicará en el fortalecimiento de la privacidad y la seguridad de los datos en muchas industrias y empresas diferentes».
“En los últimos años, la agencia ha tomado medidas contra varios tipos de empresas que recopilan o procesan datos de consumidores o realizan actividades de comercio electrónico por no cumplir con las políticas de privacidad o implementar medidas razonables de ciberseguridad, estén o no expuestas directamente al consumo. , dijo Collins a E-Commerce Times.
Por ejemplo, la FTC ha llegado a un acuerdo con una variedad de empresas de servicios o productos de consumo como Equifax y Uber, así como con proveedores de servicios externos como InfoTrax, dijo.
Otra señal de que la FTC continuará adoptando una postura proactiva en temas de privacidad y seguridad son los comentarios de dos comisionados actuales en sus presentaciones en el caso. Todos sugirieron que la agencia debería adoptar una postura de aplicación más estricta en el acuerdo de Zoom.
Según una publicación de Collins de Cleary Gottlieb, el comisionado Rohit Chopra expresó su preocupación de que el acuerdo no proporcionó un alivio significativo para los usuarios que se vieron perjudicados por la tergiversación de Zoom, como la rescisión del contrato, reembolsos o pequeños pagos por los servicios de Zoom basados en la tergiversación corporativa. crédito. , no hacer cumplir la notificación de los usuarios afectados, y sin multas.
Comisionada Rebecca Slaughter Un «orden más efectivo» requeriría que Zoom revisara los riesgos que sus productos y servicios representan para la privacidad y seguridad del consumidor, según el estudio de caso de Alston y Bird.