Data security watchers lezen met belangstelling de uitspraak van het Amerikaanse Hof van Beroep eerder dit jaar FTC tegen Wyndhamhet handhaven van de bevoegdheid van de FTC om vermeende lakse praktijken op het gebied van gegevensbeveiliging aan te vechten op grond van de oneerlijkheid van de FTC-wet. Wij beschouwen deze uitspraak als een cruciale overwinning voor consumenten en bedrijven van elke omvang die zich inzetten voor de bescherming van de persoonlijke gegevens van klanten. Nu is er nog een grote ontwikkeling in de handhavingsactie van de FTC tegen Wyndham en je wilt een van de eersten zijn die het weet.
Om het nog eens samen te vatten: de FTC heeft Wyndham en drie dochterondernemingen in 2012 aangeklaagd, omdat fouten in de gegevensbeveiliging in minder dan twee jaar tijd tot drie inbreuken hadden geleid. Volgens de klachtHackers infiltreerden in het netwerk van een Wyndham-filiaal en maakten vervolgens misbruik van de slechte beveiliging op het bedrijfsnetwerk van Wyndham om gevoelige consumentengegevens van tientallen andere Wyndham-filialen te stelen. Deze inbreuken hadden tot gevolg dat honderdduizenden accountgegevens van consumenten werden overgebracht naar een in Rusland geregistreerde website en dat er miljoenen dollars aan frauduleuze afschrijvingen op de creditcards en debetkaarten van consumenten werden gedaan. De rechtbank heeft besloten dat de FTC de bevoegdheid had om het gedrag van Wyndham aan te vechten onder de FTC Act. Het Derde Circuit hoorde een onmiddellijk beroep op deze juridische kwestie en oordeelde in het voordeel van de FTC.
Dat hebben de FTC en Wyndham vandaag bekendgemaakt een voorgestelde oplossing voor het geval dat. Lees de verordening voor meer informatie, maar kijk ook eens naar deze notabepalingen.
Op grond van Deel I van de voorgestelde verordening moet het bedrijf een alomvattend informatiebeveiligingsprogramma opzetten om de gegevens van kaarthouders te beschermen, inclusief betaalkaartnummers, namen en vervaldata, en moet het de komende twintig jaar jaarlijks jaarlijkse informatiebeveiligingsaudits uitvoeren.
Bovendien vereist de Order dat Wyndham specifiek rekening houdt met de risico’s die voortvloeien uit netwerkverbindingen tussen hotels onder het merk Wyndham en het datacenter van het bedrijf. De FTC beschouwt dit als een essentiële bepaling omdat de schendingen die in de klacht worden beweerd voortkomen uit zwakke punten in die verbanden.
Deel II van de Order vereist dat Wyndham een onafhankelijke jaarlijkse beoordeling verkrijgt onder de Payment Card Industry Data Security Standard – de meeste bedrijven kennen deze als PCI DSS – een industriestandaard voor entiteiten die creditcards accepteren. Maar hier eindigt het niet. Deel II bevat aanvullende bepalingen om te versterken wat vereist wordt door PCI DSS. Deze aanvullende bepalingen omvatten onder meer de eis dat een onafhankelijke externe auditor certificeert dat:
- Wyndham bewaakt de verbindingen met aangesloten hotels;
- Wyndham houdt zich bezig met een uitgebreide risicobeoordeling zoals uiteengezet in de PCI-DSS Risicobeoordelingsrichtlijnen; EN
- De auditor is werkelijk onafhankelijk van Wyndham.
Als uit de onafhankelijke beoordeling vereist door Deel II blijkt dat Wyndham volledig aan de eisen voldoet, zal de FTC het ook beschouwen als in overeenstemming met het uitgebreide informatiebeveiligingsprogramma dat vereist wordt door Deel I. Alle weddenschappen zijn echter uitgesloten als Wyndham de auditor op de een of andere manier misleidt of het systeem na de audit aanzienlijk wijzigt.
Waar is de erfenis van FTC tegen Wyndham? Eerst, de beslissing van het Hof van Beroep bevestigt het gebruik door de FTC van Sectie 5 om onredelijke praktijken op het gebied van gegevensbeveiliging aan te vechten. Ten tweede bieden de lessen uit deze zaak – en uit de meer dan vijftig andere regelingen voor gegevensbeveiliging van de FTC – richtlijnen voor andere bedrijven over hoe ze redelijke beveiliging in de dagelijkse bedrijfsvoering kunnen integreren.
De FTC heeft dat gedaan gratis middelen om bedrijven te helpen begin met veiligheid.
