2017年5月13日，黑客攻擊了Equifax Inc.的軟件平臺，并訪問了美國和加拿大1.43億+ Equifax客戶的敏感個人信息。只有在更新過期的安全證書后，才會在黑客初次進(jìn)入后四個月內(nèi)發(fā)現(xiàn)該漏洞。黑客訪問了數(shù)百個Equifax Inc.數(shù)據(jù)庫中數(shù)百個數(shù)據(jù)庫表中的個人信息。盡管Equifax Canada的服務(wù)器與Equifax Inc.的系統(tǒng)是分開的，但Equifax Canada的安全政策和監(jiān)督通常由Equifax Inc.管理。

隱私專員的報告

隱私專員發(fā)布了一份關(guān)于調(diào)查此違規(guī)行為的調(diào)查結(jié)果報告。該報告涉及違規(guī)的各個方面，特別是與Equifax Canada實施的安全保障有關(guān)的方面，包括其監(jiān)督機(jī)制，漏洞管理和信息安全實踐的實施。

該報告強(qiáng)調(diào)了針對任何公司的網(wǎng)絡(luò)違規(guī)計劃的幾個教訓(xùn)。

安全保障

鑒于Equifax持有的個人信息的敏感性，專員對各種數(shù)據(jù)安全保障進(jìn)行了詳細(xì)調(diào)查，以確定安全保障措施是否足夠強(qiáng)大。

Equifax Inc.持有加拿大人的各種類型的個人信息，包括支付卡信息，賬戶信息(包括用戶名，密碼和社會保險號)，以及完整信用報告和信用警報的副本。專員發(fā)現(xiàn)，總的來說，這些信息是敏感的，可能導(dǎo)致身份盜用和/或聲譽(yù)受損。專員認(rèn)為，為了遵守聯(lián)邦隱私法，此類敏感信息需要Equifax Inc.提供更高的安全保障。

Equifax Inc.檢測到該攻擊，因為它更新了過期的安全證書。此更新允許黑客的可疑流量最終被注意到(請注意，Equifax第二天包含攻擊)。專員發(fā)現(xiàn)，所有安全功能都需要及時更新，以確保更好地管理漏洞。

專員還評論了有意義地隔離網(wǎng)絡(luò)以確保計算機(jī)網(wǎng)絡(luò)不同部分之間信息流量有限的必要性。在這種情況下，需要更安全的方法來確保欺詐的檢測，從而允許更有意義的網(wǎng)絡(luò)隔離。

數(shù)據(jù)治理實踐

數(shù)據(jù)治理通常意味著管理數(shù)據(jù)訪問和使用的規(guī)則。在這種情況下，專員評論了“基本保護(hù)方法執(zhí)行不力”。

從專員的角度來看，善治實踐的一些經(jīng)驗教訓(xùn)包括：

知道誰在涉及個人信息時保存和修改文件;

安全地存儲員工和客戶的用戶名和密碼;

保持生產(chǎn)數(shù)據(jù)與測試數(shù)據(jù)分開;

培訓(xùn)員工妥善處理個人信息;

保持安全證書的更新;和，

符合要求的認(rèn)證標(biāo)準(zhǔn)。

專員指出，“各個安全領(lǐng)域的政策和做法之間存在明顯的脫節(jié)，這表明Equifax Inc.的安全計劃存在重大差距，因此監(jiān)督機(jī)制不足”。這意味著需要一個全面而全面的問責(zé)制框架，特別是在存放敏感的個人信息時。

專員還強(qiáng)調(diào)，當(dāng)?shù)谌教幚斫M織的個人信息時，需要采取適當(dāng)?shù)谋O(jiān)督做法。組織需要定期確保第三方履行保護(hù)個人信息的義務(wù)。記錄這些實踐是網(wǎng)絡(luò)準(zhǔn)備審計的關(guān)鍵。

保留記錄

盡管Equifax Inc.已制定了記錄保留政策，但它確認(rèn)其沒有刪除加拿大個人信息的程序。自2010年以來，沒有任何加拿大人的個人信息被刪除。這被認(rèn)為是一個重大缺陷，因為它意味著Equifax在刪除此類信息時存儲過時和重復(fù)的信息。在包括歐盟和加拿大在內(nèi)的多個司法管轄區(qū)，都需要刪除不再需要的個人信息，以便提供收集信息的產(chǎn)品或服務(wù)。

事實上，該公司指出，它打算制定更符合歐洲通用數(shù)據(jù)保護(hù)條例2016/679的銷毀做法，但這些努力僅限于歐洲居民的個人信息。

報告還強(qiáng)調(diào)了與保留政策和監(jiān)督其遵守情況有關(guān)的工作人員缺乏足夠的知識和意識。從專員的角度來看，這是有問題的。一個重要的經(jīng)驗教訓(xùn)是確保員工接受所有數(shù)據(jù)安全策略的培訓(xùn)，記錄此類培訓(xùn)，并在整個公司內(nèi)部更新和應(yīng)用策略。

數(shù)據(jù)共享協(xié)議

專員評論說，與第三方就如何處理個人信息缺乏正式的書面安排。這些安排應(yīng)定期更新，并在關(guān)系發(fā)生重大變化時更新。

據(jù)專員介紹，安排應(yīng)討論：

第三方正在處理的個人信息;

處理個人信息時需要遵守的規(guī)則，規(guī)定和標(biāo)準(zhǔn);

與信息安全和保留/破壞有關(guān)的義務(wù);

可接受的個人信息使用;和，

報告和監(jiān)督義務(wù)。

披露與使用

Equifax違反行為導(dǎo)致專員發(fā)出政策重大變化的信號。報告的結(jié)論是，從組織轉(zhuǎn)移到關(guān)聯(lián)公司或第三方供應(yīng)商處理的個人信息被視為向第三方組織披露而非使用。

這很重要。

現(xiàn)在可能會出現(xiàn)一種新的期望，即附屬組織(例如Equifax Inc.和Equifax Canada)之間的數(shù)據(jù)傳輸應(yīng)被視為第三方披露。這意味著聯(lián)盟組織不再能夠依賴于基于其內(nèi)部策略的個人信息，而是需要展示強(qiáng)大的問責(zé)制框架，正式的書面合同以及它們之間的充分?jǐn)?shù)據(jù)治理實踐。鑒于數(shù)據(jù)的流動性，特別是附屬實體之間的流動性，這是否真的很實用?

同意

最后，專員發(fā)現(xiàn)從Equifax Canada向Equifax Inc.轉(zhuǎn)移個人信息需要有意義的同意，包括與位于不同國家的第三方有關(guān)的信息以及相關(guān)風(fēng)險：

[...]我們認(rèn)為，即使是在違規(guī)時仔細(xì)審查個人可用的隱私政策和使用條款的個人也無法理解Equifax公司正在收集他們的信息，無一例外。 ，在美國，立即生效。他們也不會理解Equifax Canada隨后會向Equifax Inc.披露重要的進(jìn)一步信息，或者在此類披露發(fā)生之前不會提供進(jìn)一步的細(xì)節(jié)或?qū)で笸?。鑒于收集和披露敏感個人信息的程度，我們認(rèn)為，在這種情況下，這種明確性是明確的

總之，Equifax Canada未充分明確：(i)Equifax Inc.在美國收集敏感個人信息，(ii)隨后向Equifax Inc.披露敏感個人信息，以及(iii)選項適用于不希望以這種方式披露其信息的個人。

專員評論說，信息的敏感性和個人的合理期望使得有義務(wù)獲得有意義的同意

標(biāo)簽：