Equifax pagará $575 millones como parte de la liquidación

“Companies that profit from personal information have an extra responsibility to protect and secure that data,” said FTC Chairman Joe Simons. “Equifax failed to take basic steps that may have prevented the breach that affected approximately 147 million consumers. This settlement requires that the company take steps to improve its data security going forward, and will ensure that consumers harmed by this breach can receive help protecting themselves from identity theft and fraud.”

en flag
nl flag
fr flag
de flag
pt flag
es flag

Anuncio de prensa de la Comisión Federal de Comercio

Equifax pagará $575 millones como parte de la liquidación con la FTC, CFPB y Estados relacionados con la violación de datos de 2017

Equifax Inc. ha acordado pagar al menos $575 millones, y potencialmente hasta $700 millones, como parte de un acuerdo global con la Comisión Federal de Comercio, la Oficina de Protección Financiera al Consumidor (CFPB) y 50 estados y territorios de los Estados Unidos, que alegaron que la empresa de información crediticia no tomó medidas razonables para proteger su red condujeron a una violación de datos en 2017 que afectó a aproximadamente 147 millones de personas.

En su denuncia, la FTC alega que Equifax no logró asegurar la enorme cantidad de información personal almacenada en su red, lo que dio lugar a una violación que reveló millones de nombres y fechas de nacimiento, números de la Seguridad Social, direcciones físicas y otra información personal que podría dar lugar a robo de identidad y fraude.

Como parte del acuerdo propuesto, Equifax pagará $300 millones a un fondo que proporcionará a los consumidores afectados servicios de monitoreo crediticio. El fondo también compensará a los consumidores que compraron servicios de control de crédito o identidad de Equifax y pagaron otros gastos de bolsillo como resultado de la violación de datos de 2017. Equifax sumará hasta $125 millones al fondo si el pago inicial no es suficiente para compensar a los consumidores por sus pérdidas. Además, a partir de enero de 2020, Equifax proporcionará a todos los consumidores estadounidenses seis informes de crédito gratuitos cada año durante siete años, además del informe de crédito anual gratuito que Equifax y las otras dos agencias nacionales de información crediticia ofrecen actualmente.

La compañía también acordó pagar $175 millones a 48 estados, el Distrito de Columbia y Puerto Rico, así como $100 millones a la CFPB en sanciones civiles.

«Las empresas que se benefician de la información personal tienen una responsabilidad adicional de proteger y proteger esos datos», dijo el presidente de la FTC, Joe Simons. «Equifax no tomó medidas básicas que podrían haber evitado el incumplimiento que afectó a aproximadamente 147 millones de consumidores. Este acuerdo requiere que la empresa tome medidas para mejorar la seguridad de sus datos en el futuro, y garantizará que los consumidores perjudicados por esta infracción puedan recibir ayuda para protegerse contra el robo de identidad y el fraude».

«El anuncio de hoy no es el final de nuestros esfuerzos para garantizar que la información personal sensible de los consumidores sea segura y segura. El incidente de Equifax pone de relieve la evolución de las amenazas a la ciberseguridad que enfrentan los sistemas informáticos privados y gubernamentales y las acciones que deben tomar para proteger la información personal de los consumidores. Hay demasiado en juego para la seguridad financiera del pueblo estadounidense para hacer de estas protecciones algo menos que una prioridad máxima. Para los consumidores afectados por la violación de Equifax, el acuerdo de hoy pondrá a disposición de hasta 425 millones de dólares por tiempo y dinero que gastaron para protegerse de posibles amenazas de robo de identidad o abordar incidentes de robo de identidad como resultado de la violación. Animamos a los consumidores afectados por el incumplimiento a presentar sus reclamaciones para poder recibir un control de crédito gratuito o reembolsos en efectivo», dijo Kathleen L. Kraninger, directora de la Oficina de Protección Financiera del Consumidor.

Fallas de seguridad de la empresa

La FTC alega que Equifax no parcheó su red tras haber sido alertada en marzo de 2017 sobre una vulnerabilidad crítica de seguridad que afectaba a su base de datos SIAC, que se ocupa de las consultas de los consumidores sobre sus datos personales de crédito. A pesar de que el equipo de seguridad de Equifax ordenó que cada uno de los sistemas vulnerables de la empresa fuera parcheado dentro de las 48 horas posteriores a la recepción de la alerta, Equifax no hizo seguimiento para asegurar que el pedido fuera llevado a cabo por los empleados responsables.

De hecho, Equifax no descubrió que su base de datos ACIS estuviera desparcheada hasta julio de 2017, cuando su equipo de seguridad detectó tráfico sospechoso en su red. Una investigación de la empresa reveló que varios hackers pudieron aprovechar la vulnerabilidad del SIAC para acceder a la red de Equifax, donde accedieron a un archivo no protegido que incluía credenciales administrativas almacenadas en texto sin formato. Estas credenciales permitieron a los hackers obtener acceso a grandes cantidades de información de identificación personal de los consumidores y operar sin ser detectados en la red de Equifax durante meses.

Los hackers se dirigieron a los números del Seguro Social, las fechas de nacimiento y otra información sensible, principalmente de consumidores que habían comprado productos de Equifax, como puntajes de crédito, monitoreo de crédito o servicios de prevención de robo de identidad. Por ejemplo, los hackers robaron al menos 147 millones de nombres y fechas de nacimiento, 145,5 millones de números del Seguro Social y 209.000 números de tarjetas de pago y fechas de vencimiento.

Los hackers pudieron acceder a una asombrosa cantidad de datos porque Equifax no implementó las medidas básicas de seguridad, según la denuncia. Esto incluye no implementar una directiva para garantizar que las vulnerabilidades de seguridad se aplicaron parches; no segmentar sus servidores de bases de datos para bloquear el acceso a otras partes de la red una vez que se violó una base de datos; y no instalar protecciones sólidas de detección de intrusiones para sus bases de datos heredadas. Además, la FTC también alega que Equifax almacenó las credenciales y contraseñas de red, así como los números de la Seguridad Social y otra información sensible al consumidor, en texto sin formato.

A pesar de no implementar las medidas básicas de seguridad, la política de privacidad de Equifax en ese momento declaró que limitaba el acceso a la información personal de los consumidores e implementaba «salvaguardias físicas, técnicas y de procedimiento razonables» para proteger los datos de los consumidores.

La FTC alega que Equifax violó la prohibición de la Ley de la FTC contra las prácticas injustas y engañosas y la regla de salvaguardias de la Ley Gramm-Leach-Bliley, que exige a las instituciones financieras que elaboren, apliquen y mantengan un programa amplio de seguridad de la información para proteger la seguridad, la confidencialidad, y la integridad de la información del cliente.

Requisitos de liquidación

Además del alivio monetario para los consumidores, Equifax también está obligado a implementar un programa integral de seguridad de la información que requiere que la empresa tome varias medidas, incluyendo:

Designar a un empleado para supervisar el programa de seguridad de la información;

Realizar evaluaciones anuales de los riesgos de seguridad internos y externos e implementar salvaguardias para hacer frente a los riesgos potenciales, como la administración de parches y las políticas de corrección de la seguridad, los mecanismos de intrusión en la red y otras protecciones;

Obtención de certificaciones anuales del consejo de administración de Equifax o subcomité pertinente que certifiquen que la empresa ha cumplido con el pedido, incluidos sus requisitos de seguridad de la información;

a) Ensayo y supervisión de la eficacia de las salvaguardias de seguridad; y

Asegurarse de que los proveedores de servicios accedan a la información personal almacenada por Equifax también implementen salvaguardias adecuadas para proteger dichos datos.

El acuerdo propuesto también requiere que la empresa obtenga evaluaciones de terceros de su programa de seguridad de la información cada dos años. En virtud de la orden, el evaluador debe especificar las pruebas que respalden sus conclusiones y llevar a cabo un muestreo independiente, entrevistas a los empleados y revisiones de documentos. La orden otorga a la Comisión la facultad de aprobar al evaluador para cada período de evaluación de dos años. El pedido también requiere que Equifax proporcione una actualización anual a la FTC sobre el estado del proceso de reclamaciones del consumidor.

Lea el comunicado completo de la Comisión Federal de Comercio de Equifax para pagar $575 millones como parte de la liquidación con la FTC, CFPB y Estados relacionados con la violación de datos de 2017

Lectura adicional

Nueva política del Departamento de Justicia para incentivar el cumplimiento corporativo

Automatización de eDiscovery: un marco estratégico

Fuente: ComplexDiscovery