FTC和Wyndham打电话给休战

数据泄露

继第三巡回巡回裁定维护FTC的权力监管unf欺骗性根据FTC法案第5条,Wyndham全球公司和FTC的网络安全实践已同意定居。这标志着数据安全和监管执法的十字路口的热竞争和被关心的案例。

正如我们之前的帖子上报道的那样,Wyndham于2008年和2009年经历了三个违约,导致曝光约619,000名消费者的信用卡号码。FTC于2012年启动了一项执法行动,指示Wyndham从事FTC法案第5条的不公平和欺骗网络安全措施。The FTC asserted that Wyndham’s cybersecurity practices were deficient in myriad ways that placed consumer data at risk of theft, for example, by storing payment card information in clear text, using weak and default passwords across networks, failing to install or misconfiguring firewalls, failing to adequately restrict vendor access to corporate networks, and failing to follow appropriate incident response procedures after successive cyberattacks.

温德姆挑战了FTC的权力来规范网络安全。声称FTC未阐明第5条规定的特定网络安全行为,Wyndham表示不充分的通知,即其网络安全实践可以将其视为监管执法。

The Third Circuit rejected Wyndham’s arguments, finding that the company was not entitled to “ascertainable certainty” of the FTC’s interpretation of reasonable cybersecurity standards and noting that the FTC’s guides, reports, and previous case law and consent decrees provide fair notice to businesses as to the type of security practices that may or may not be adequate to protect consumer data, thus affirming the FTC’s use of Section 5 to regulate cybersecurity practices. A more thorough examination of the Third Circuit’s decision can be found这里这里

结算

根据条款拟议的和解协议- 为什么Wyndham必须遵守20年 - Wyndham必须实施一个全面的书面信息安全计划,其中包括以下措施:

  • 进行评估以确定信用卡信息安全的风险;
  • 实施程序以减轻风险评估中确定的风险;
  • 制定兽医常规网络安全实践的程序;和
  • 设计计划以确保信用卡信息的持续安全性以确保持续的安全性计划。
  • 提交年度第三方评估,以验证遵守支付卡行业数据安全标准(PCI-DS)

此外,如果Wyndham的系统在另一个影响超过10,000个支付卡号码的违规行为中受到损害,则Wyndham必须在发现违约的180天内获得PCI DSS风险评估。每份报告必须在Wyndham收到它后的10天内向FTC提供。

虽然这一解决方案重点是遵守PCI DSS标准的大量,但FTC已明确表示,公司不能依赖于PCI合规以确保消费者数据。FTC解决了温德姆同意法令它的公共声明与它有关的100万美元的LifeLock,Inc。定居点,这是一周后宣布的温德姆。在FTC指出的情况下,尽管为PCI DSS的遵守年度认证提供了生命来,但是,如果我们发现安全失败的证据将消费者信息充满风险。我们获得的禁令救济温德姆案例证实了我们的长期观点,即PCI DSS认证本身不足以建立合理的安全保护的存在...... [T]他存在PCI DSS认证是一个重要的考虑因素,但绝不是我们的分析合理的安全性。“

外带

第三次电路的决定和Wyndham和FTC之间的随后解决方案应放置有关FTC权威的任何疑问 - 以及更重要的是,决心 - 规范网络安全实践。在第三次电路之前持续存在,FTC无疑将继续弯曲其网络安全肌肉。在许多方面,Wyndham Saga加强了许多从业者一段时间向客户提出建议:有一个最小网络安全实践的基线,反映在行业指导方针和机构同意法令中,该法令作为留在监管十字路口的路线图。因此,强大的网络安全和风险缓解计划需要定期审查和迭代,不仅可以与最新的安全软件保持最新,也可以保持最新的监管举报工具这可以允许公司映射他们的政策和实践 - 希望落在FTC的注意力外面。