Data security watchers lezen met belangstelling de uitspraak van het Amerikaanse Hof van Beroep eerder dit jaar FTC tegen Wyndhamwaarmee de bevoegdheid van de FTC wordt gehandhaafd om vermeend lakse gegevensbeveiligingspraktijken aan te vechten op grond van de oneerlijkheid van de FTC Act. Wij beschouwen deze uitspraak als een mijlpaaloverwinning voor consumenten en voor bedrijven van elke omvang die zich inzetten voor het veilig houden van de persoonlijke gegevens van klanten. Nu is er nog een grote ontwikkeling in de wetshandhavingsactie van de FTC tegen Wyndham en je wilt een van de eersten zijn die het weet.
Om het nog eens samen te vatten: de FTC heeft Wyndham en drie dochterondernemingen in 2012 voor de rechter gedaagd, omdat fouten in de gegevensbeveiliging in minder dan twee jaar tijd tot drie inbreuken hadden geleid. Volgens de klachtinfiltreerden hackers in het netwerk van een franchisenemer van Wyndham en maakten vervolgens misbruik van lakse beveiliging op het bedrijfsnetwerk van Wyndham om gevoelige consumentengegevens van tientallen andere franchisenemers van Wyndham te bemachtigen. Deze inbreuken resulteerden in de overdracht van accountgegevens van honderdduizenden consumenten naar een in Rusland geregistreerde website – en in miljoenen dollars aan frauduleuze afschrijvingen op de creditcards en debetkaarten van consumenten. De rechtbank oordeelde dat de FTC de bevoegdheid had om het gedrag van Wyndham aan te vechten onder de FTC Act. Het Derde Circuit hoorde een onmiddellijk beroep op die juridische kwestie en oordeelde in het voordeel van de FTC.
Dat hebben de FTC en Wyndham vandaag bekendgemaakt een voorgestelde schikking in het geval. Voor de details leest u het bevel, maar let ook eens op deze belangrijke bepalingen.
Op grond van Deel I van het voorgestelde besluit moet het bedrijf een alomvattend informatiebeveiligingsprogramma opzetten om de gegevens van kaarthouders te beschermen, inclusief betaalkaartnummers, namen en vervaldata, en moet het de komende twintig jaar jaarlijks gerelateerde informatiebeveiligingsaudits uitvoeren.
Bovendien vereist de Order dat Wyndham specifiek rekening houdt met de risico’s die voortvloeien uit netwerkverbindingen tussen hotels onder het merk Wyndham en het bedrijfsdatacenter. De FTC beschouwt dit als een essentiële bepaling omdat de in de klacht beweerde inbreuken voortkwamen uit zwakke punten in die verbanden.
Deel II van de Order vereist dat Wyndham jaarlijks een onafhankelijke beoordeling krijgt onder de Payment Card Industry Data Security Standard – de meeste bedrijven kennen deze als PCI DSS – een industriestandaard voor entiteiten die creditcards accepteren. Maar daar houdt het niet op. Deel II bevat aanvullende bepalingen om te versterken wat vereist is onder de PCI DSS. Deze aanvullende bepalingen omvatten onder meer de eis dat een onafhankelijke externe auditor certificeert dat:
- Wyndham bewaakt de verbindingen met haar franchisehotels;
- Wyndham voert een uitgebreide risicobeoordeling uit, zoals uiteengezet in de PCI-DSS-richtlijnen voor risicobeoordeling; En
- De auditor is werkelijk onafhankelijk van Wyndham.
Als uit de onafhankelijke beoordeling vereist door Deel II blijkt dat Wyndham volledig aan de regels voldoet, zal de FTC het bedrijf beschouwen als in overeenstemming met het uitgebreide informatiebeveiligingsprogramma dat ook door Deel I wordt vereist. Alle weddenschappen zijn echter uitgesloten als Wyndham op enigerlei wijze de auditor misleidt of het systeem na de audit aanzienlijk verandert.
Waar is de erfenis van FTC tegen Wyndham? Eerst, de uitspraak van het hof van beroep bevestigt het gebruik door de FTC van Sectie 5 om onredelijke praktijken op het gebied van gegevensbeveiliging aan te vechten. Ten tweede bieden de lessen uit deze zaak – en de meer dan vijftig andere regelingen voor gegevensbeveiliging van de FTC – richtlijnen voor andere bedrijven over het inbouwen van verstandige beveiliging in uw dagelijkse activiteiten.
De FTC heeft dat gedaan gratis middelen om bedrijven te helpen begin met beveiliging.
