• Tweet

La letanía de los más recientes incumplimientos en la seguridad en bases de datos, se puede ver como la lista de lavandería de algunas de las compañías mas importantes en Estados Unidos. Pero su compañía no tiene que ser tan importante o sufrir un incumplimiento para que sea cometida al escrutinio de la Comisión Federal de Comercio.

"La amenaza hacia los negocios se extiende más allá del número relativamente bajo que realmente experimentan tener datos comprometidos," dijo Mike Overly, uno de los socios de la firma legal Foley &#amp; Lardner, que se especializa en leyes cibernéticas. "La FTC ha conducido varias aciones de cumplimiento en contra de las compañías en que no han ocurrido problemas de seguridad. En estos casos, la FTC revisó las prácticas de seguridad y encontró que no satisfacen sus declaraciones, típicamente en políticas de privacidad, que prometen protejer la información del consumidor y asegurar que tal informaión no sea comprometida."

Reduciéndolo

Que significa que la FTC encontró que las declaraciones son decepcionantes y engañosas hacia los clientes, porque los negocios no han empleado medidas razonables para proteger sus sistemas.

"Por lo que no sólo los negocios sufren riesgo de una intrusión o compromiso de información", dijo Overly. "Cualquier negocio que maneje información del cliente puede ser auditado por la FTC para asegurar que el negocio lleve a cabo prácticas de seguridad razonables y apropiadas y conforme con las declaraciones que la compañía hace públicas. Si no, la FTC podría perseguir a la compañía por hacer declaraciones engañosas hacia los consumidores, en caso de la seguridad de su información."

Las políticas de privacidad son el objetivo obvio.

Las políticas de privacidad son comunmente el gancho que la FTC usa para ir tras las compañías, dijo Benjamin Wright, abogado independiente y autor de "Business Law and Computer Security". Sugiere que las organizaciones sean extremadamente cuidadosas acerca de lo que publican en las políticas de privacidad de tal forma que no se lea como garantía. "El decir que estamos asegurando su información es muy peligroso porque las autoridades legales normalmente lo interpretan como una promesa imposible de cumplir."

"Más y más compañías están poniendo deslindes de responsabilidades en sus sitios web," agregó Wright. Que legalmente se interpretan en muchas ocasiones como, "Sus datos son importantes para nosotros, pero no aseguramos la confiabilidad en su protección".

Sin embargo, dijo Overly, no protegerá a la organización de la confiabilidad de la seguridad, ni de sus prácticas. "Las políticas de sitios web de comercio que prometen proteger los datos de sus clientes de publicación no autorizada, pero niegan responsabilidades de pérdidas de información de los clientes, probablemente se enfrenten al escrutinio de la FTC si se pierden datos de los clientes", dijo Overly.

¿Quién ha estado en la mira-

La semana pasada la BJ's Wholesale Club ha enfrentado cargos de la FTC que son "Errores en tomar las medidas de seguridad apropiadas para proteger información sensible de miles de sus clientes que fueron prácticas injustas que violaron la ley federal". De acuerdo a la FTC, la información robada de BJ's fue usada para hacer compras fraudulentas por millones de dólares. El acuerdo le pide a BJ's que implemente un programa completo de seguridad de la información que incluya administración, seguridad física y técnica y la obtención de auditorías por una compañía de seguridad externa cada año por un periodo de 20 años.

La FTC ademas a forzado a Guess Inc, y Eli Lilly a incrementar su seguridad. Incumplimientos importantes que podrían atraer su atención incluyen a CardSystems, Bank of America, Citibank, Lexis-Nexis, ChoicePoint y otros.

Wright hizo notar que el procurador general de NY Eliot Spitzer llevó una acción en contra de Ziff Davis en 2002 por la débil seguridad en el sitio. Los hackers entraron en la base de datos de los clientes, se llevaron números de tarjetas de crédito y los usaron para cometer fraudes. Spitzer forzó a la compañía a pagar $125,000 de fianza.

Más recientemente, Spitzer fué contra Barnes &#amp; Noble.com, que tendrá que pagar $60,000 al estado de Nueva York e implementar un programa de seguridad completo bajo el acuerdo del 29 de Abril. "El acuerdo no contiene indicios de que se haya obtenido información importante por terceras personas," dijo Overly. "En cambio, el abogado general se quejó de la forma de programación de su sitio web que era inherentemente insegura y se violaban las políticas de seguridad publicadas."

"La fianza es baja, pero tengamos en mente que es una situación en que no se ha llevado a cabo un compromiso de información.", dijo Overly. "Pienso que este tipo de acción deberá ser común en los meses que vienen... llevado a cabo por la FTC o el procurador general del estado. Si el sujeto de la fianza no cumple y sufre una pérdida de información, la fianza será sustancial."