Ambito: finanza
Tipologia: analisi e prevenzione
La Financial Industry Regulatory Authority (FINRA), l'ente americano che ha il compito di emanare regole e sorvegliare l'operato delle aziende che trattano strumenti finanziari negli Stati Uniti, ha annunciato ieri di aver imposto sanzioni per un totale di 600.000 $ a due aziende facenti capo al gruppo Lincoln Financial Securities, che hanno fallito nel proteggere informazioni non pubbliche dei propri clienti. In aggiunta a questo, la LFS si è inoltre dimostrata negligente per non aver imposto, ai broker che lavoravano remotamente, di installare software di sicurezza sui propri PC.
Le regole della SEC e della FINRA richiedono che ogni broker o dealer adottino regole e procedure scritte riguardanti le misure adottate per salvaguardare la protezione dei dati dei clienti.
La FINRA ha accertato che sia la Lincoln Financial Securities sia la Lincoln Financial Advisors Corporation, rispettivamente per un periodo di tempo di 7 e di due anni, permettevano a dipendenti attuali e precedenti di accedere ai dati dei clienti utilizzando qualsiasi browser e credenziali di autenticazione condivise.
Tra il 2002 e il 2009, tra le due aziende, più di un milione di account clienti vennero acceduti attraverso l'uso di utenti e password condivisi tra vari dipendenti. Dal momento che nessuna delle due aziende aveva policy e procedure per monitorare la distribuzione di utenti e password condivisi, non era possibile tracciare quanti e quali dipendenti potevano aver avuto accesso ai dati in questo periodo di tempo. Come risultato di questa mancanza di regole, i dati confidenziali dei clienti, che comprendono i nomi, gli indirizzi, i social security number, i numeri di conto, il saldo, le date di nascita, gli indirizzi email e i dettagli delle transazioni, sono stati messi in grave pericolo.
La FINRA ha anche scoperto che LFS e LFA non avevano procedure per disabilitare o modificare gli utenti e le password dei dipendenti che avevano cambiato lavoro.
Nella formulazione delle sanzioni, la FINRA ha tenuto conto degli sforzi condotti dalle aziende per notificare ai clienti, potenzialmente vittima di furto di dati, il rischio che potevano correre e per offrire loro un servizio di protezione del credito per un anno.
Source: FINRA
Nessun commento:
Posta un commento