O Morgan Stanley concordou com um acordo de US$ 6,5 milhões pelo descarte inseguro de hardware contendo informações pessoais não criptografadas.
Através de práticas negligentes de segurança de dados internos, o banco multinacional de investimento e empresa de serviços financeiros expôs potencialmente as informações pessoais de milhões de clientes, afirma o Gabinete do Procurador-Geral da Florida.
Uma investigação sobre a empresa descobriu que ela não apagou adequadamente as informações pessoais não criptografadas armazenadas em dispositivos que estavam sendo desativados.
Especificamente, ao tentar desmantelar milhares de discos rígidos contendo informações sensíveis do consumidor, o Morgan Stanley contratou “uma empresa de mudanças sem experiência em serviços de destruição de dados” e não conseguiu monitorizar as suas ações.
A empresa de mudanças, diz o AG, vendeu o equipamento informático em leilões na Internet sem o conhecimento do Morgan Stanley. No final das contas, um comprador downstream encontrou os dados e contatou o Morgan Stanley.
Durante outro processo de desativação, a empresa de serviços financeiros descobriu 42 servidores desaparecidos, potencialmente contendo informações não criptografadas de clientes. O problema, descobriu a investigação, era devido a “uma falha do fabricante no software de criptografia”.
A investigação também concluiu que a empresa de serviços financeiros não implementou controlos adequados de fornecedores e inventários de ativos, o que poderia ter evitado a exposição dos dados.
Como parte do acordo (PDF), além de pagar US$ 6,5 milhões aos estados da Flórida, Connecticut, Indiana, Nova Jersey, Nova York e Vermont, o Morgan Stanley foi condenado a melhorar a segurança das informações pessoais.
A empresa foi obrigada a criptografar dados em repouso e em trânsito, implementar uma política de coleta, uso, retenção e descarte de dados, implementar ferramentas para rastrear hardware contendo informações pessoais e manter um programa de segurança da informação, um plano de resposta a incidentes e um equipe de avaliação de risco do fornecedor.