சேவை வழங்குநருடன் தரவு பாதுகாப்பு தீர்வு புதுப்பிக்கப்பட்ட ஆர்டர் விதிகளை உள்ளடக்கியது

டோமினோ கொள்கை. சிற்றலை விளைவு. பட்டாம்பூச்சி நிகழ்வு. எப்போது நிகழ்கிறது என்பதை விவரிக்க உங்களுக்கு விருப்பத்தின் ஒப்புமைகளைப் பயன்படுத்துங்கள் ஒன்று மென்பொருள் டெவலப்பர்கீழ்நிலை பாதுகாப்பு நடைமுறைகள் ரகசிய வாடிக்கையாளர் தகவல்களை மீறுகின்றன என்று கூறப்படுகிறது நான்கு மென்பொருளைப் பயன்படுத்தும் வணிகங்கள். உங்கள் வணிகம் ஒரு சேவை வழங்குநராக இருந்தால்-அல்லது உங்கள் தரவை நிர்வகிக்க உங்கள் நிறுவனம் மூன்றாம் தரப்பு சேவை வழங்குநர்களைப் பயன்படுத்தினால்-அ முன்மொழியப்பட்டது FTC தீர்வு தகுதிஉங்கள் கவனம். வழக்கின் ஒரு குறிப்பிடத்தக்க அம்சம்: அதன் தரவு பாதுகாப்பு ஆர்டர்களைப் புதுப்பிப்பதற்கான தற்போதைய கமிஷன் முன்னுரிமையை பிரதிபலிக்கும் புதிய தரவு பாதுகாப்பு தேவைகளை உள்ளடக்கிய முன்மொழியப்பட்ட உத்தரவு.

பல மூன்றாம் தரப்பு சேவை வழங்குநர்கள் தொழில் சார்ந்த தரவு மேலாண்மை மென்பொருளை நுகர்வோர் எதிர்கொள்ளும் வணிகங்களுக்கு விற்கின்றனர். ஒரு எடுத்துக்காட்டு டீலர்பில்ட், லைட்இயர் டீலர் டெக்னாலஜிஸ் உருவாக்கிய ஆட்டோ டீலர்களுக்கான மென்பொருள். டீலர்பில்ட் என்பது வணிகத்தில் ஒரு பெரிய பெயர், இது நாட்டின் மிகப் பெரிய டீலர்ஷிப்களில் சில வாடிக்கையாளர்களாக உள்ளது. உரிமம் வழங்கும் டீலர்ஷிப்கள் டீலர்பில்ட்டின் மென்பொருளுக்கு நுகர்வோர் மற்றும் பணியாளர்கள் பற்றிய பெரிய அளவிலான முக்கியமான நிதி, ஊதியம், கணக்கியல் மற்றும் பிற தகவல்களை சேகரித்து பராமரிக்கின்றன. மென்பொருளைப் பயன்படுத்தும் விநியோகஸ்தர்கள் டீலர்பில்ட் தங்கள் தரவை ஹோஸ்ட் செய்யலாம் அல்லது அவர்கள் அதை தங்கள் சொந்த சேவையகங்களில் ஹோஸ்ட் செய்யலாம். இரண்டாவது விருப்பத்தைத் தேர்ந்தெடுக்கும் வணிகங்கள் தங்கள் தரவுத்தளங்களை தொடர்ந்து டீலர்பில்ட் நெட்வொர்க்கில் காப்புப் பிரதி எடுக்கின்றன.

சட்ட அமலாக்க நடவடிக்கைக்கு வழிவகுத்த UH-OH ஐ பெறுவதற்கு முன், FTC இன் முன்மொழியப்பட்ட நிர்வாக புகாருடன் தொடர்புடைய நேரத்தில் டீலர் பிலில்ட்டின் சில நடைமுறைகளை பரிசீலிக்க இடைநிறுத்தத்தை ஏற்படுத்துவோம். FTC இன் படி:

• எந்தவொரு அணுகல் கட்டுப்பாடுகள் அல்லது கடவுச்சொற்கள் அல்லது டோக்கன்கள் போன்ற அங்கீகார பாதுகாப்புகள் இல்லாமல், தெளிவான உரையில் சேமிக்கப்பட்ட தகவல்களை டீலர்பில்ட் செய்யப்பட்டுள்ளது. டீலர்ஷிப்களுக்கும் டீலர்பிலில்ட்டின் காப்பு தரவுத்தளத்திற்கும் இடையில் அனுப்பப்படும் தரவு தெளிவான உரையில் இருந்தது.
• டீலர்பிலிட்டில் எழுத்துப்பூர்வ தகவல் பாதுகாப்புக் கொள்கை இல்லை.
• டீலர்பில்ட் ஊழியர்கள் அல்லது ஒப்பந்தக்காரர்களுக்கு நியாயமான தரவு பாதுகாப்பு பயிற்சியை வழங்கவில்லை.
• அவ்வப்போது இடர் மதிப்பீடுகளை நடத்துவதன் மூலமோ அல்லது பாதிப்பு மற்றும் ஊடுருவல் சோதனையைச் செய்வதன் மூலமோ அதன் நெட்வொர்க்கில் உள்ள முக்கியமான தரவுகளுக்கான அபாயங்களை டீலர்பில்ட் மதிப்பிடவில்லை.
• டீலர்பில்ட் கண்காணிக்க உடனடியாக கிடைக்கக்கூடிய பாதுகாப்பு நடவடிக்கைகளைப் பயன்படுத்தவில்லை – மற்றவற்றுடன் – முக்கியமான தகவல்களை மாற்றுவதற்கான அங்கீகரிக்கப்படாத முயற்சிகள்.
• டீலர் பிலில்ட் நியாயமான தரவு அணுகல் கட்டுப்பாடுகளை இடத்தில் வைக்கவில்லை – எடுத்துக்காட்டாக, அறியப்பட்ட ஐபி முகவரிகளுக்கு உள்வரும் இணைப்புகளைக் கட்டுப்படுத்துவதற்கான அமைப்புகள் அல்லது காப்பு தரவுத்தளங்களை அணுக அங்கீகாரம் தேவைப்படுகிறது.
• தனிப்பட்ட தகவல்களுக்கான அணுகலுடன் சாதனங்களைத் தேர்ந்தெடுக்க, நிறுவ மற்றும் பாதுகாக்க ஒரு நியாயமான செயல்முறை டீலர் பில்ட் இல்லை.

பாதுகாப்பு தோல்விகளின் அந்த பின்னணியில், அடுத்து என்ன நடந்தது என்பது ஆச்சரியமாக இருக்கக்கூடாது. கிடைக்கக்கூடிய காப்புப்பிரதி சேமிப்பிடத்தை அதிகரிக்க, ஒரு டீலர்பில்ட் ஊழியர் ஒரு சேமிப்பக சாதனத்தை வாங்கி ஏப்ரல் 2015 இல் நிறுவனத்தின் நெட்வொர்க்கில் நிறுவினார். யாராவது சரிபார்த்திருந்தால், தகவல் மாற்ற அனுமதிக்கும் திறந்த இணைப்பு துறைமுகத்தை சாதனம் உருவாக்கியிருப்பதை அவர்கள் கற்றுக்கொண்டிருப்பார்கள்.

அக்டோபர் 2016 இன் பிற்பகுதியில், ஒரு ஹேக்கர் அந்த திறந்த துறைமுகத்தை டீலர்பிலில்ட்டின் காப்புப்பிரதி தரவுத்தளத்திற்கு அங்கீகரிக்கப்படாத அணுகலைப் பெறுவதற்காக “நடந்து சென்றார்”, இதில் 12 மில்லியனுக்கும் அதிகமான நுகர்வோரின் மறைகுறியாக்கப்பட்ட தனிப்பட்ட தகவல்கள் உட்பட, அதன் 130 வாடிக்கையாளர் டீலர்ஷிப்கள் நிறுவனத்துடன் சேமித்து வைத்திருந்தன. 69,283 நுகர்வோரின் தனிப்பட்ட தகவல்களையும், ஐந்து டீலர்ஷிப்களின் முழு காப்பு கோப்பகங்களையும் பதிவிறக்கம் செய்து, கணினி மடல் நேரங்களைத் தாக்கினார். அதெல்லாம் இல்லை, ஏனென்றால் கணிசமான காலத்திற்கு, டீலர்பிலிட்டின் பாதுகாப்பற்ற அமைப்புகள் பாதுகாப்பற்ற இணைக்கப்பட்ட சாதனங்களைக் கண்டறிய ஹேக்கர்கள் பயன்படுத்தும் பொது வலைத்தளத்தில் குறியிடப்பட்டன. இறுதியில் என்ன திருடப்பட்டது? மற்றவற்றுடன், நுகர்வோரின் சமூக பாதுகாப்பு எண்கள், ஓட்டுநர் உரிம எண்கள் மற்றும் தேதிகள் அல்லது பிறப்பு, அத்துடன் டீலர்ஷிப் ஊழியர்களைப் பற்றிய ஊதியம் மற்றும் நிதித் தகவல்கள்-அடையாள திருடர்களின் ஐந்து நட்சத்திர பிடித்தவை.

நவம்பர் 7, 2016 அன்று, ஒரு டீலர்ஷிப் அழைத்தபோது, ​​வாடிக்கையாளர் தரவு ஏன் இணையத்தில் பகிரங்கமாக அணுகப்பட்டது என்பதை அறியக் கோரி, மீறல் பற்றி டீலர்பில்ட் அறிந்து கொண்டது. FTC இன் கூற்றுப்படி, ஒரு நிருபர் டீலர்பில்ட்டிடம் பாதுகாப்பு பாதிப்பு பற்றி கூறும் வரை நிறுவனம் அதன் சேமிப்பக சாதனத்தில் திறந்த துறைமுகத்தைப் பற்றி அறிந்திருந்தது.

புகாரின் 1 எண்ணிக்கை FTC பார்வையாளர்களுக்கு நன்கு தெரிந்திருக்க வேண்டும். நிறுவனம் நியாயமான முறையில் பயன்படுத்தத் தவறியது என்று FTC குற்றம் சாட்டுகிறது பாதுகாப்பு எஃப்.டி.சி சட்டத்தை மீறி நடவடிக்கைகள் நியாயமற்ற நடைமுறையாகும். கவுண்ட் 2 சிறப்புக் குறிப்புக்கு மதிப்புள்ளது, ஏனெனில் டீலர்பில்ட் கிராம-லீச்-ப்ளைலி சட்டத்தின் “நிதி நிறுவனம்” என்ற வரையறையை சந்திக்கிறது. இது ஜி.எல்.பி பாதுகாப்பு விதிக்கு இணங்குவதைத் தூண்டுகிறது, இது டீலர்பில்ட் மீறப்பட்டதாக எஃப்.டி.சி குற்றம் சாட்டுகிறது – மற்றவற்றுடன் – எழுதப்பட்ட தகவல் பாதுகாப்புத் திட்டத்தை உருவாக்க, செயல்படுத்த மற்றும் பராமரிக்கத் தவறியது; வாடிக்கையாளர் தகவல்களின் பாதுகாப்பு, இரகசியத்தன்மை மற்றும் ஒருமைப்பாடு ஆகியவற்றில் நியாயமான முறையில் எதிர்பார்க்கக்கூடிய அபாயங்களை அடையாளம் காணத் தவறியது; மற்றும் அடிப்படை பாதுகாப்புகளை செயல்படுத்தத் தவறியது மற்றும் அவற்றின் செயல்திறனை தவறாமல் சோதிக்கிறது.

வழக்கைத் தீர்ப்பதற்கு, குறிப்பிடத்தக்க புதிய விதிகளை உள்ளடக்கிய ஒரு முன்மொழியப்பட்ட உத்தரவுக்கு நிறுவனம் ஒப்புக் கொண்டுள்ளது நீங்கள் கவனமாக மதிப்பாய்வு செய்ய விரும்புவீர்கள். ஏப்ரல் மாதத்தில் அறிவிக்கப்பட்ட கிளிக்ஸ்ஸென்ஸ் மற்றும் ஐடிரெஸப் வழக்குகளில் உள்ள ஆர்டர்களைப் போலவே, இந்த வழக்கில் முன்மொழியப்பட்ட உத்தரவுக்கு ஒரு மூத்த டீலர்பில்ட் அதிகாரி FTC க்கு வருடாந்திர இணக்க சான்றிதழ்களை வழங்க வேண்டும். புகாரில் கூறப்படும் சிக்கல்களைத் தீர்க்கும் குறிப்பிட்ட, நடைமுறைப்படுத்தக்கூடிய பாதுகாப்புகளை செயல்படுத்த டீலர்பில்ட் இந்த உத்தரவுக்கு தேவைப்படுகிறது – எடுத்துக்காட்டாக, நிறுவனம் வருடாந்திர பணியாளர் பயிற்சியை நடத்தவும், தரவு பாதுகாப்பு சம்பவங்களுக்கான அதன் அமைப்புகளை கண்காணிக்கவும், அணுகல் கட்டுப்பாடுகளை செயல்படுத்தவும், அதன் நெட்வொர்க்கில் சரக்கு சாதனங்களை செயல்படுத்தவும் தேவைப்படுகிறது. கூடுதலாக, டீலர்பிலில்ட்டின் தரவு பாதுகாப்பு திட்டத்தை மதிப்பாய்வு செய்வதற்கு பொறுப்பான மூன்றாம் தரப்பு மதிப்பீட்டாளரின் பொறுப்புக்கூறலை மேலும் மேம்படுத்த முன்மொழியப்பட்ட உத்தரவு குறிப்பிடத்தக்க மாற்றங்களைச் செய்கிறது. மேலும் என்னவென்றால், மதிப்பீட்டாளர் தனது முடிவுகளை அடிப்படையாகக் கொண்ட ஆவணங்கள் மற்றும் பிற பொருட்களுக்கான FTC ஐ அதிகரித்த அணுகலை வழங்குகிறது.

புதுப்பிக்கப்பட்ட தீர்வு விதிமுறைகள் ஏன்? மிகவும் குறிப்பிட்ட ஒழுங்கு விதிகள், கட்டாய மூத்த நிர்வாகம் பாதுகாப்பு சிக்கல்களில் கவனம் செலுத்துகிறது, ஆழமான “பேட்டைக்கு அடியில் பாருங்கள்மதிப்பீட்டாளர்களுக்குத் தேவையான மதிப்பீடு, மற்றும் புதிய FTC கண்காணிப்பு கருவிகள் அனைத்தும் ஆர்டர் இணக்கத்தை உறுதிப்படுத்த வடிவமைக்கப்பட்டுள்ளன – தேவைப்பட்டால் – அமலாக்க.

முன்மொழியப்பட்ட தீர்வு கூட்டாட்சி பதிவேட்டில் வெளியிடப்பட்டதும், FTC பொது கருத்துக்களை ஏற்றுக் கொள்ளும் 30 நாட்களுக்கு. இந்த வழக்கில் இருந்து மற்ற நிறுவனங்கள் என்ன எடுக்க முடியும்?

பாதுகாப்பை மையமாகக் கொண்ட உங்கள் ஊழியர்களை பயிற்சியளித்து மேற்பார்வை செய்யுங்கள். உங்கள் வணிகத்தில் பாதுகாப்புக்கு பொறுப்பேற்க யாரையாவது நியமிப்பது ஒரு தொடக்கமாகும், ஆனால் பாதிப்புகள் இல்லை என்று நீங்கள் நடிக்க வேண்டும் என்று அர்த்தமல்ல. நுகர்வோரின் முக்கியமான தனிப்பட்ட தகவல்களைக் கையாளும் நிறுவனங்களுக்கு பாதுகாப்பைக் கருத்தில் கொள்ள வேண்டிய பொறுப்பு உள்ளது. உங்கள் வணிகத்தின் தன்மைக்கு பொருத்தமான ஊழியர்களின் பயிற்சியை நடத்துங்கள் மற்றும் தற்போதைய அபாயங்கள் மற்றும் அச்சுறுத்தல்களை பிரதிபலிக்கும் வகையில் அதைப் புதுப்பிக்கவும். மேலும் என்னவென்றால், உங்கள் நிறுவனத்தில் பாதுகாப்பில் முடிவுகள் பெரிய தாக்கத்தை ஏற்படுத்தும் மேற்பார்வையாளர்களை யாராவது மேற்பார்வையிடுகிறார்கள் என்பதை உறுதிப்படுத்திக் கொள்ளுங்கள்.

பிணைய அணுகலுடன் சாதனங்களை நிறுவும் போது உடற்பயிற்சி கவனிப்பு. ஒரு சாக்கெட்டில் ஒரு விரலை ஒட்டுவது போல, சேர்க்கிறது சில சாதனங்கள் உங்கள் கணினியில் கணிசமான அதிர்ச்சியை ஏற்படுத்தும் அபாயத்தை இயக்குகிறது. பாதுகாப்பு தாக்கங்கள் மூலம் சிந்தித்து உறுதிப்படுத்திக் கொள்ளுங்கள் எந்த சாதனமும் சரியாக நிறுவப்பட்டுள்ளது.

ஜி.எல்.பி கவரேஜ் அகலமானது. “நிதி நிறுவனம்” என்ற சொற்றொடர் பாஸ் புக்ஸ், சொல்பவர்கள் மற்றும் பேனாக்களின் படங்களை அட்டவணையில் சங்கிலியால் கட்டியெழுப்பக்கூடும், ஆனால் கிராம்-லீச்-ப்ளிலே விதிகள் இந்த வார்த்தையை எவ்வாறு வரையறுக்கின்றன என்பதல்ல. உங்கள் வணிகம் GLB பாதுகாப்பு விதிக்கு உட்பட்ட ஒரு நிதி நிறுவனமாக இருக்க முடியுமா என்பதைக் கவனியுங்கள்.

உங்கள் நிறுவனம் மூன்றாம் தரப்பு மென்பொருள் அல்லது வழங்குநர்களைப் பயன்படுத்தினால், உங்கள் ஒப்பந்தங்களில் பாதுகாப்பை உருவாக்குங்கள். மற்றொரு நிறுவனத்தின் நடத்தை மீறலில் சம்பந்தப்பட்டிருந்தாலும், உங்கள் வாடிக்கையாளர்களின் தகவல் ஆபத்தில் இருக்கக்கூடும், மேலும் அவர்கள் என்ன தெரிந்து கொள்ள விரும்புவார்கள் நீங்கள் அவர்களைப் பாதுகாக்க செய்தேன். FTC இன் வெளியீடு பாதுகாப்புடன் தொடங்குவது போல, மூன்றாம் தரப்பு சேவை வழங்குநர்களிடம் தரவை ஒப்படைக்கும்போது, ​​உங்கள் பாதுகாப்பு எதிர்பார்ப்புகளை உச்சரிக்கும்போது, ​​உங்கள் சார்பாக அவர்கள் என்ன செய்கிறார்கள் என்பதைக் கண்காணிக்கும்போது, ​​அறியப்பட்ட பாதிப்புகள் குறித்து புகாரளிக்கும் வலைத்தளங்களைப் பின்பற்றுங்கள்.

சேவை வழங்குநர்கள் தாங்கள் சேகரிக்கும் மற்றும் சேமிக்கும் தனிப்பட்ட தரவைப் பாதுகாக்க பொறுப்புக்கூற வேண்டும். உங்கள் செயல்பாடுகள் திரைக்குப் பின்னால் இருந்தாலும், சட்டத்தை மீறுவதற்கு நீங்கள் இன்னும் பொறுப்பாவீர்கள். பிற நிறுவனங்களின் சார்பாக முக்கியமான நுகர்வோர் தரவை நீங்கள் கையாண்டால், பாதுகாப்பு முன் மற்றும் மையமாக இருக்க வேண்டும்.