Pengawas keamanan data membaca dengan penuh minat keputusan Pengadilan Banding AS awal tahun ini Komisi Perdagangan Federal v. Wyndhamdan mendukung otoritas FTC untuk menantang praktik keamanan data yang diduga lemah berdasarkan ketidakadilan dalam Undang-Undang FTC. Kami memandang keputusan ini sebagai kemenangan penting bagi konsumen dan bisnis dari semua ukuran yang berkomitmen untuk menjaga keamanan informasi pribadi pelanggan. Kini ada perkembangan besar lainnya dalam tindakan penegakan hukum FTC terhadap Wyndham Dan Anda pasti ingin menjadi orang pertama yang mengetahuinya.
Singkatnya, FTC menggugat Wyndham dan tiga anak perusahaannya pada tahun 2012, dengan tuduhan bahwa kegagalan keamanan data menyebabkan tiga pelanggaran dalam waktu kurang dari dua tahun. Sesuai dengan keluhannyaperetas menyusup ke jaringan pewaralaba Wyndham dan kemudian mengeksploitasi lemahnya keamanan di jaringan perusahaan Wyndham untuk mendapatkan data konsumen sensitif dari lusinan pewaralaba Wyndham lainnya. Pelanggaran ini mengakibatkan transfer ratusan ribu data akun konsumen ke situs web yang terdaftar di Rusia – dan biaya penipuan senilai jutaan dolar ke kartu kredit dan debit konsumen. Pengadilan setempat memutuskan FTC mempunyai wewenang untuk menantang perilaku Wyndham berdasarkan Undang-Undang FTC. Sirkuit Ketiga segera mendengarkan banding atas pertanyaan hukum ini Keputusan mendukung FTC.
FTC dan Wyndham mengumumkan hari ini. Penyelesaian yang diusulkan Dalam hal ini. Anda harus membaca aplikasi untuk mengetahui detailnya, tetapi periksa ketentuan catatan ini.
Berdasarkan bagian pertama dari perintah yang diusulkan, perusahaan harus menetapkan program keamanan informasi yang komprehensif untuk melindungi data pemegang kartu, termasuk nomor kartu pembayaran, nama, dan tanggal kedaluwarsa, dan harus melakukan audit keamanan informasi terkait tahunan setiap tahun selama 20 tahun ke depan.
Selain itu, Wyndham juga diwajibkan untuk secara khusus mempertimbangkan risiko yang timbul dari koneksi jaringan antara hotel bermerek Wyndham dan pusat data perusahaan. FTC memandang hal ini sebagai ketentuan utama karena dugaan pelanggaran dalam pengaduan muncul dari kelemahan tautan tersebut.
Bagian kedua dari perintah tersebut mengharuskan Wyndham untuk mendapatkan evaluasi independen tahunan berdasarkan Standar Keamanan Data Industri Kartu Pembayaran – yang dikenal oleh sebagian besar perusahaan sebagai PCI DSS – sebuah standar industri untuk entitas yang menerima kartu kredit. Tapi itu tidak berakhir di situ. Bagian II mencakup ketentuan tambahan untuk menyempurnakan apa yang disyaratkan dalam PCI DSS. Ketentuan tambahan ini termasuk mewajibkan auditor eksternal independen untuk menyatakan hal-hal berikut:
- Wyndham memelihara hubungan dengan hotel waralaba;
- Wyndham terlibat dalam penilaian risiko komprehensif sebagaimana diatur dalam Pedoman Penilaian Risiko PCI-DSS; Dan
- Auditor benar-benar independen dari Wyndham.
Jika evaluasi independen yang diwajibkan berdasarkan Bagian II menunjukkan bahwa Wyndham sepenuhnya mematuhi, FTC akan menganggapnya mematuhi program keamanan informasi komprehensif yang juga diwajibkan oleh Bagian I. Namun, semua taruhan dibatalkan jika Wyndham dengan cara apa pun menipu auditor atau mengubah sistem secara signifikan setelah audit.
Apa itu warisan? Komisi Perdagangan Federal v. Wyndham? Pertama, Keputusan Pengadilan Banding Menegaskan penggunaan Bagian 5 oleh FTC untuk menantang praktik keamanan data yang tidak masuk akal. Kedua, pembelajaran dari kasus ini—dan lebih dari 50 penyelesaian keamanan data lainnya yang dilakukan oleh FTC—memberikan panduan bagi perusahaan lain dalam membangun keamanan yang wajar dalam operasi Anda sehari-hari.
FTC memiliki sumber daya gratis untuk membantu bisnis memulai dengan keamanan.