Waarnemers op het gebied van de gegevensbeveiliging hebben met belangstelling de uitspraak van het Amerikaanse Hof van Beroep van eerder dit jaar gelezen FTC tegen Wyndhamdat de bevoegdheid van de FTC bevestigt om vermeende lakse praktijken op het gebied van gegevensbeveiliging aan te vechten op grond van de oneerlijkheid van de FTC-wet. Wij beschouwen deze uitspraak als een mijlpaaloverwinning voor consumenten en voor bedrijven van elke omvang die zich inzetten om de persoonlijke gegevens van klanten veilig te houden. Nu is er nog een belangrijke ontwikkeling in de handhavingsactie van de FTC tegen Wyndham en je wilt als een van de eersten op de hoogte zijn.
Om het nog eens samen te vatten: de FTC heeft Wyndham en drie dochterondernemingen in 2012 aangeklaagd, omdat gebreken in de gegevensbeveiliging in minder dan twee jaar tijd tot drie inbreuken hadden geleid. Volgens de klachthackers infiltreerden in het netwerk van een Wyndham-franchisenemer en maakten vervolgens misbruik van lakse beveiliging op het bedrijfsnetwerk van Wyndham om gevoelige consumentengegevens van tientallen andere Wyndham-franchisenemers te verkrijgen. Deze inbreuken resulteerden in de overdracht van accountgegevens van honderdduizenden consumenten naar een in Rusland geregistreerde website – en miljoenen dollars aan frauduleuze afschrijvingen op de creditcards en debetkaarten van consumenten. Dat heeft het Hooggerechtshof besloten dat de FTC de bevoegdheid had om het gedrag van Wyndham aan te vechten onder de FTC Act. Het Derde Circuit hoorde een onmiddellijk beroep op deze juridische kwestie en oordeelde in het voordeel van de FTC.
Dat hebben de FTC en Wyndham vandaag bekendgemaakt een voorstel tot schikking in het geval. Lees het bevel voor de details, maar bekijk ook deze kennisgevingsbepalingen.
Volgens Deel I van het voorgestelde uitvoeringsbesluit moet het bedrijf een alomvattend informatiebeveiligingsprogramma opzetten om de gegevens van kaarthouders te beschermen, inclusief betaalkaartnummers, namen en vervaldata, en moet het de komende twintig jaar jaarlijks gerelateerde informatiebeveiligingsaudits uitvoeren.
Het bevel vereist verder dat Wyndham specifiek rekening houdt met de risico’s die voortvloeien uit netwerkverbindingen tussen hotels onder het merk Wyndham en het datacenter van het bedrijf. De FTC beschouwt het als een belangrijke bepaling omdat de schendingen die in de klacht worden beweerd, plaatsvonden vanwege zwakke punten in die verbanden.
Deel II van het bevel vereist dat Wyndham jaarlijks een onafhankelijke beoordeling krijgt op basis van de gegevensbeveiligingsstandaard van de betaalkaartindustrie – bij de meeste bedrijven bekend als PCI DSS – een industriestandaard voor creditcardaccepterende entiteiten. Maar daar houdt het niet op. Deel II bevat aanvullende bepalingen om te versterken wat vereist is onder PCI DSS. Deze aanvullende bepalingen omvatten vereisten voor een onafhankelijke externe auditor om te certificeren dat:
- Wyndham stelt de relaties met zijn franchisehotels veilig;
- Wyndham voert een uitgebreide risicobeoordeling uit zoals beschreven in de PCI-DSS Risicobeoordelingsrichtlijnen; En
- De auditor is werkelijk onafhankelijk van Wyndham.
Als uit de onafhankelijke beoordeling vereist in Deel II blijkt dat Wyndham volledig aan de eisen voldoet, zal de FTC dit beschouwen als in overeenstemming met het uitgebreide informatiebeveiligingsprogramma dat ook vereist is in Deel I. Alle weddenschappen zijn echter uitgesloten als Wyndham op enigerlei wijze de auditor misleidt of het systeem na de audit aanzienlijk verandert.
Waar is de erfenis van FTC tegen Wyndham? Eerst, de beslissing van het Hof van Beroep bevestigt opnieuw het gebruik door de FTC van artikel 5 om oneerlijke praktijken op het gebied van gegevensbeveiliging aan te vechten. Ten tweede bieden de lessen die uit deze zaak zijn geleerd – en uit de meer dan vijftig andere regelingen voor gegevensbeveiliging van de FTC – richtlijnen voor andere bedrijven om redelijke beveiliging in te bouwen in uw dagelijkse activiteiten.
De FTC heeft dat gedaan gratis middelen om bedrijven te helpen begin met veiligheid.
