News
Morgan Stanley concordou com o pagamento de 6,5 milhões de dólares por práticas negligentes de segurança de dados internos
22/11/2023
|
Morgan Stanley chegou a acordo para o pagamento de uma multa de 6,5 milhões de dólares pelo descarte inseguro de hardware que continha informações pessoais não criptografadas de clientes. De acordo com a Procuradoria-Geral da Florida, através de práticas negligentes de segurança de dados internos, o banco multinacional de investimento e empresa de serviços financeiros potencialmente expuseram as informações pessoais de milhões de clientes. Uma investigação à empresa revelou que esta não apagou adequadamente as informações pessoais não criptografadas armazenadas em dispositivos que foram desativados. Morgan Stanley tinha contratado “uma empresa de mudanças sem experiência em serviços de destruição de dados” e não conseguiu monitorizar as suas ações. A Procuradoria-Geral da Florida afirma que a empresa de mudanças procedeu à venda dos dispositivos em leilões na Internet sem o conhecimento de Morgan Stanley. Um comprador downstream encontrou os dados e entrou em contacto com a empresa. Durante outro processo de desativação, a empresa de serviços financeiros descobriu 42 servidores desaparecidos, que potencialmente continham informações não criptografadas de clientes. O problema, descobriu a investigação, era devido a “uma falha do fabricante no software de criptografia”. Ainda mais, segundo a investigação, a empresa não implementou os controlos adequados de fornecedores e inventários de ativos – uma medida que poderia ter evitado a exposição dos dados. Para além do pagamento de uma multa de 6,5 milhões de dólares aos estados da Florida, Connecticut, Indiana, Nova Jersey, Nova York e Vermont, Morgan Stanley recebeu ordens para melhorar a segurança de informações pessoais. A empresa foi também obrigada a adotar as seguintes medidas: criptografia de dados em repouso e em trânsito; implementação de uma política de recolha, uso, retenção e descarte de dados; implementação de ferramentas para seguir hardware que contém informações pessoais; desenvolvimento de um programa de segurança da informação, um plano de resposta a incidentes e uma equipa de avaliação de risco do fornecedor. |
Receba todas as novidades na sua caixa de correio!
NEWS
Apagão Ibérico: Data Centers e Internet Fixa mostraram grande Resiliência
NEWS
Mais de um terço das empresas sofreram múltiplas violações de segurança na cloud em 2024
NEWS
CIO lutam para obter valor dos investimentos em cibersegurança
THREATS
Milhares de aplicações afetados por vulnerabilidade crítica zero day
OPINION
Dia Mundial da Password: é preciso mudar mentalidades
NEWS
Microsoft corrige erro no Exchange
NEWS
Apple alerta utilizadores em cem países para possíveis ataques com spyware avançado
NEWS
CIO lutam para obter valor dos investimentos em cibersegurança
NEWS
Lisboa recebe tour da Palo Alto Networks
NEWS
França acusa grupo russo de ciberataques a entidades locais
